学术研究人员开发出一种名为 TEE.Fail 的侧信道攻击技术，能够从 CPU 的可信执行环境（系统中安全性极高的区域）中提取机密信息，涉及英特尔（Intel）的 SGX、TDX 技术以及 AMD 的 SEV-SNP 技术。

该攻击方法是针对 DDR5 系统的内存总线介入式攻击，人们升级无需芯片级专业知识。

可信执行环境（TEE）是主处理器内的 " 机密计算 " 硬件，用于保障敏感数据的机密性与完整性，例如身份验证和授权过程中使用的加密密钥。这一环境与操作系统相互隔离，会创建受保护的内存区域，确保代码和数据能够安全运行。

研究人员指出，由于最新几代硬件在架构设计上的权衡取舍，英特尔 SGX、TDX 以及 AMD SEV-SNP 的现代实现版本，已不再如宣传般安全。 

具体而言，可信执行环境已从客户端 CPU 拓展至采用 DDR5 内存的服务器级硬件，这类硬件采用了确定性 AES-XTS 内存加密技术，同时为追求性能与扩展性，移除了内存完整性保护和重放保护机制。 

研究人员通过实验证实，可利用这些缺陷实施密钥提取与认证伪造。TEE.Fail 是首个基于 DDR5 的密文攻击技术，延续了此前针对 DDR4 内存的 WireTap 和 BatteringRAM 等攻击研究。

一、攻击实施流程与技术细节

该攻击需满足两个前提：一是能够物理接触目标设备，二是拥有修改内核驱动程序所需的根级权限。研究人员在技术论文中解释，他们通过将系统内存时钟降至 3200 MT/s（1.6 GHz），实现了信号的可靠捕获。

窥探装置（右）和目标（左）

具体操作是在 DDR5 内存模块（DIMM）与主板之间，接入注册内存（RDIMM）转接卡和定制的探针隔离网络。

将介入装置与逻辑分析仪连接后，攻击者可记录 DDR5 的命令 / 地址信号及数据突发传输过程，从而获取物理 DRAM（动态随机存取存储器）地址的读写密文。

TEE.fail 攻击期间的 DDR5 内存总线流量

针对英特尔 SGX 技术，研究人员需将虚拟地址中的数据强制导入单一内存通道，以便通过介入装置进行观测。

借助英特尔向内存地址转换组件开放的物理地址接口，研究人员能够 " 通过系统文件系统（sysfs）向用户空间进一步开放这一解码接口 "。这让他们得以获取用于确定物理地址对应内存模块位置的关键信息。

不过，SGX 依赖操作系统内核进行物理内存分配，因此研究人员 " 修改了内核的 SGX 驱动程序，使其能够接收虚拟地址与物理地址对作为参数，并存储在全局内核内存中 "。

研究人员创建了一个 SGX enclave，对特定虚拟内存地址发起密集的读写操作。通过这一方式，他们验证了内存介入装置捕获的加密密文，是物理内存地址及其内容的确定性函数。

他们解释道：" 为验证加密的确定性，我们指令飞地对其内存中的固定虚拟地址执行一系列读写操作，并通过逻辑分析仪捕获每一步后的密文读取数据。"

由于 AES-XTS 加密技术会使同一信息每次加密都得到相同输出，研究团队向可观测的物理地址写入已知值，建立起密文与原始值的映射关系。

来自   enclave 数据三次读取的密文

随后，通过触发并记录目标加密操作，观测中间表项的加密访问过程，恢复出每个签名对应的随机数（nonce）位。

结合恢复的随机数与公开签名，即可重构私钥签名密钥，进而伪造有效的 SGX/TDX 认证报告（quotes），冒充合法的可信执行环境。

研究人员采用相同方法，从运行在 AMD SEV-SNP 保护虚拟机中的 OpenSSL 中提取了签名密钥。值得注意的是，即便启用了 " 密文隐藏 " 安全选项，针对 AMD SEV-SNP 的攻击依然有效。

二、攻击影响：多场景安全威胁实现

研究人员展示的攻击案例包括：

1. 在以太坊 BuilderNet 上伪造 TDX 认证报告，获取机密交易数据与密钥，实现不可检测的抢先交易；

2. 伪造英特尔和英伟达的认证信息，使在可信执行环境外运行的工作负载呈现合法状态；

3. 直接从飞地中提取 ECDH 私钥，恢复网络主密钥，彻底破坏数据机密性；

4. 针对 Xeon 服务器实施攻击，获取用于验证设备身份的配置证书密钥（PCK）。

通过 TEE.Fail 攻击，研究人员证实能够控制可信执行环境的运行过程，并观测特定虚拟地址。不过该攻击属于复杂攻击，需物理接触目标设备，在现实场景中实用性有限，对普通用户而言暂不构成直接威胁。

目前，研究人员已于 4 月向英特尔、6 月向英伟达、8 月向 AMD 通报了相关发现。三家厂商均已确认问题存在，并表示正针对机密计算威胁模型研发缓解措施与适配方案，计划在 TEE.Fail 技术论文公开后发布官方声明。