Завдяки спільному розміщенню апаратного забезпечення, розривів TEE хоч греблю гати, але цей виводить його на новий рівень і дозволяє генерувати фальшивий звіт про атестацію, який перевіряється на найвищому рівні довіри Intel за допомогою ключів, витягнутих із виробничого обладнання з налаштуванням ~1 тисяча доларів. Ось розбивка, і вона також впливає на безпечне висновування LLM: Атака працює шляхом використання детермінованого шифрування в Intel TDX/SGX і AMD SEV-SNP. Коли один і той же відкритий текст шифрується двічі на одній і тій же фізичній адресі, він створює ідентичний зашифрований текст. Спостерігаючи за трафіком пам'яті DDR5 через фізичний інтерпозер, зловмисник може порівнювати зашифровані значення та відновлювати секрети, ніколи нічого не розшифровуючи. Що робить це особливо руйнівним, так це те, що вони витягли PCK для конкретного пристрою, який використовується PCE для сертифікації ключів кількісного пом'якшення. За допомогою цього ключа ви можете підробити атестації як SGX, так і TDX. Підроблені котирування перевіряються навіть за відсутності TDX. Практичні наслідки є серйозними. Вони продемонстрували вилучення ключів гаманця Ethereum і ключів розшифровки потоку замовлень BuilderNet (на кону мільйони в MEV), початковий консенсус Secret Network (розшифровує всі конфіденційні транзакції) і показали, як «запозичити» атестації графічного процесора Nvidia для підроблених конфіденційних робочих навантажень штучного інтелекту. Установка для атаки коштує менше 1000 доларів у готових компонентах і поміщається в 17-дюймовий портфель. Не потрібне дороге лабораторне обладнання. Портфель навіть не обов'язково має бути відкритим під час атаки, а в комплекті є підстаканник для кави. Жарти жартами, але це дійсно практично для проникнення в дата-центри. Пом'якшення наслідків існують, але вони обмежені та дорогі. Intel і AMD вважають, що фізична взаємодія виходить за рамки своїх моделей загроз. Єдиним захистом є фізична безпека: камери, контроль доступу та впевненість у тому, що ваш хмарний провайдер не буде скомпрометований. Для сервісів, які покладаються на атестацію TEE, вам потрібно глибоко розуміти, де насправді знаходиться ваше надійне обладнання.