Mit Hardware-Ko-Standorten sind TEE-Pausen an der Tagesordnung, aber diese bringt es auf die nächste Stufe und ermöglicht es Ihnen, einen gefälschten Attestierungsbericht zu erstellen, der auf dem höchsten Vertrauensniveau von Intel verifiziert wird, indem Schlüssel aus Produktionshardware mit einem Setup von etwa 1000 $ extrahiert werden. Hier ist eine Übersicht, und es betrifft auch die sichere LLM-Inferenz: Der Angriff funktioniert, indem er die deterministische Verschlüsselung in Intel TDX/SGX und AMD SEV-SNP ausnutzt. Wenn derselbe Klartext zweimal an derselben physischen Adresse verschlüsselt wird, produziert er identischen Chiffretext. Durch die Beobachtung des DDR5-Speicherverkehrs über einen physischen Interposer kann der Angreifer verschlüsselte Werte vergleichen und Geheimnisse rekonstruieren, ohne jemals etwas zu entschlüsseln. Was dies besonders verheerend macht, ist, dass sie den gerätespezifischen PCK extrahiert haben, der vom PCE verwendet wird, um QE-Schlüssel zu zertifizieren. Mit diesem Schlüssel können Sie sowohl SGX- als auch TDX-Attestierungen fälschen. Die gefälschten Zitate verifizieren sogar, wenn kein TDX vorhanden ist. Die praktischen Auswirkungen sind schwerwiegend. Sie haben gezeigt, wie man die Ethereum-Wallet-Schlüssel von BuilderNet und die Entschlüsselungsschlüssel für Orderflow extrahiert (Millionen an MEV auf dem Spiel), den Konsens-Samen des Secret Networks (entschlüsselt alle vertraulichen Transaktionen) und gezeigt, wie man Nvidia GPU-Attestierungen "ausleihen" kann, um vertrauliche KI-Workloads zu fälschen. Die Angriffseinrichtung kostet weniger als 1000 $ in handelsüblichen Komponenten und passt in einen 17"-Aktentasche. Keine teure Laborausrüstung erforderlich. Die Aktentasche muss während des Angriffs nicht einmal geöffnet werden und hat einen Becherhalter für Ihren Kaffee. Spaß beiseite, das ist wirklich praktisch für die Infiltration von Rechenzentren. Es gibt Gegenmaßnahmen, aber sie sind begrenzt und kostspielig. Intel und AMD betrachten die physische Interposition als nicht relevant für ihre Bedrohungsmodelle. Die einzige Verteidigung ist physische Sicherheit: Kameras, Zugangskontrollen und das Vertrauen darauf, dass Ihr Cloud-Anbieter nicht kompromittiert ist. Für Dienste, die auf TEE-Attestierung angewiesen sind, müssen Sie genau verstehen, wo Ihre vertrauenswürdige Hardware tatsächlich sitzt.