Wilke, Luca2025-07-032025-07-032025-06-24https://epub.uni-luebeck.de/handle/zhb_hl/3465Cloud-Computing hat das Datenmanagement und die IT-Praktiken für Organisationen und Einzelpersonen gleichermaßen durch seine unvergleichliche Skalierbarkeit, Flexibilität und Kosteneffizienz transformiert. Es bringt jedoch Datenschutzbedenken mit sich, da die Cloud-Anbieter auf alle verarbeiteten Daten zugreifen können. Trusted Execution Environments (TEEs) sind eine mögliche Lösung für die Datenschutzbedenken. Sie bieten eine neuartige Form der Isolation, die sogar den Infrastrukturbetreiber umfasst. Angriffe von jedweder Software außerhalb der TEE werden durch neue Zugriffsbeschränkungen verhindert und physische Angriffe werden durch Speicherverschlüsselung verhindert. Selbst das Betriebssystem oder der Hypervisor können diese Restriktionen nicht überwinden. Mit Intel SGX, Intel TDX und AMD SEV-SNP bieten beide großen Hersteller von x86 CPUs TEEs auf ihren Server-CPUs an. Diese Doktorarbeit untersucht, inwieweit die aktuelle TEE-Generation ihre Sicherheitsversprechen einhält. Wir beginnen mit einer detaillierten Erklärung, wie SGX, TDX und SEV-SNP ihre Isolationsgarantien umsetzen. Darauf aufbauend zeigen wir, dass der Trend deterministische Speicherverschlüsselung ohne Integrität oder Frische zu verwenden mehrere Schwächen aufweist. Wir zeigen, dass das Überwachen von deterministischen Chiffretexten auf Veränderungen, Informationen über den Klartext preisgibt, und demonstrieren Angriffe auf SEV-SNP. SGX und TDX verhindern eine einfache Ausnutzung solcher Angriffe, indem sie Lese- und Schreibzugriffe von Softwareangreifern auf den Chiffretext unterbinden, während SEV-SNP nur Schreibbeschränkungen implementiert. Als Nächstes stellen wir die Sicherheit solcher Zugriffsrestriktionen infrage, indem wir zeigen, dass ein Angreifer mit kurzzeitigem physischem Zugang zu den Speichermodulen Aliase im Adressraum erzeugen kann, die diese Sicherheitsvorkehrungen umgehen. Wir nutzen dies auf SEV-SNP aus, um den Schreibzugriff für Softwareangreifer erneut zu ermöglichen, was zu einem verheerenden Angriff führt, der es erlaubt Attestierungsberichte zu fälschen und somit sämtliches Vertrauen in SEV-SNP untergräbt. SGX und TDX verhindern solche Angriffe durch eine dedizierte Suche nach solchen Aliasen während des Systemstarts. Abschließend untersuchen wir die Sicherheit von VM-basierten TEEs gegen Single-Stepping-Angriffe, welche eine instruktionsgranulare Beobachtung der Ausführung ermöglichen und bereits in mehreren gravierenden Angriffen auf SGX verwendet wurden. Wir zeigen, dass SEV-SNP ebenfalls anfällig für Single-Stepping ist, und stellen ein Software-Framework bereit, um Single-Stepping auf SEV für zukünftige Forschung zugänglich zu machen. Als Nächstes analysieren wir Intel TDX, dass über eine eingebaute Single-Stepping Gegenmaßnahme verfügt, die aus einer Erkennungsheuristik und einem Präventionsmodus besteht. Wir decken einen Fehler in der Heuristik auf, der die Aktivierung des Präventionsmodus verhindert und damit erneut Single-Stepping auf TDX ermöglicht. Darüber hinaus enthüllen wir einen inhärenten Fehler im Präventionsmodus, der feingranulare Informationen über den Programmablauf verrät.Cloud computing has transformed data management and IT practices for organizations and individuals alike, offering unmatched scalability, flexibility, and cost-efficiency. However, it comes with privacy concerns, as the cloud service providers can access all processed data. Trusted Execution Environments (TEEs) are one potential solution, offering a new form of isolation that even locks out the infrastructure operator. Attacks from any software component outside the TEE are thwarted by novel access restrictions while physical attacks are prevented by memory encryption. Even the operating system or hypervisor cannot overcome these restrictions. With Intel SGX, Intel TDX, and AMD SEV-SNP, both major x86 CPU vendors offer TEEs on their server CPUs. This thesis scrutinizes the extent to which the current TEE generation delivers on their security promises. We start this thesis by describing the isolation mechanisms implemented by SGX, TDX, and SEV-SNP. Building on these insights, we demonstrate that the trend to use deterministic memory encryption without integrity or freshness has several shortcomings. We show that monitoring deterministic ciphertexts for changes allows leaking information about the plaintext, which we exploit on SEV-SNP. SGX and TDX prevent straightforward exploitation by restricting software attackers from reading and writing the ciphertext, while SEV-SNP only restricts writing. Next, we challenge the security of such access restrictions by showing that an attacker with brief physical access to the memory modules can create aliases in the address space that bypass these safeguards. We exploit this on SEV-SNP to re-enable write access for software attackers, culminating in a devastating attack that forges attestation reports, undermining all trust in SEV-SNP. On SGX and TDX, such attacks are mitigated by a dedicated alias check at boot time. Finally, we examine the security of VM-based TEEs against single-stepping attacks, which allow instruction-granular tracing and have led to numerous high-stakes attacks on SGX. We show that SEV-SNP is also vulnerable to single-stepping and provide a software framework enabling easy access to single-stepping on SEV for future research. Next, we analyze the single-stepping security of Intel TDX, which comes with a built-in mitigation comprising a detection heuristic and a prevention mode. We uncover a flaw in the heuristic that stops the activation of the prevention mode, thereby re-enabling single-stepping on TDX. Furthermore, we unveil an inherent flaw in the prevention mode that leaks fine-grained information about the control flow.enConfidential ComputingSystems Security004thesis.doctoralurn:nbn:de:gbv:841-202507031