S hardwarovým společným umístěním je přerušení TEE tucet, ale tento to posouvá na další úroveň a umožňuje vám vygenerovat falešnou zprávu o atestaci, která ověřuje na nejvyšší úrovni důvěryhodnosti Intelu pomocí klíčů extrahovaných z produkčního hardwaru s nastavením ~$1k. Zde je rozpis a ovlivňuje také bezpečnou inferenci LLM: Útok funguje tak, že využívá deterministické šifrování v Intel TDX/SGX a AMD SEV-SNP. Když je stejný prostý text zašifrován dvakrát na stejné fyzické adrese, vytvoří se identický šifrovaný text. Sledováním provozu pamětí DDR5 prostřednictvím fyzického interposeru může útočník porovnávat šifrované hodnoty a rekonstruovat tajemství, aniž by musel cokoli dešifrovat. Co je na tom obzvláště zničující, je to, že extrahovali PCK specifický pro zařízení, který PCE používá k certifikaci QE klíčů. Pomocí tohoto klíče můžete falšovat potvrzení SGX i TDX. Falešné kotace se ověřují, i když není k dispozici žádné TDX. Praktické důsledky jsou vážné. Demonstrovali extrahování klíčů peněženky Ethereum a dešifrovacích klíčů orderflow společnosti BuilderNet (v sázce jsou miliony v MEV), konsensuálního seed sítě Secret Network (dešifruje všechny důvěrné transakce) a ukázali, jak si "vypůjčit" atestace GPU Nvidia k falešným důvěrným úlohám AI. Nastavení útoku stojí méně než 1000 dolarů za běžně dostupné komponenty a vejde se do 17" kufříku. Není potřeba žádné drahé laboratorní vybavení. Kufřík nemusí být během útoku ani otevřený a jeho součástí je držák na šálek na kávu. Vtipy stranou, pro infiltraci do datových center je to skutečně praktické. Zmírnění existují, ale jsou omezená a nákladná. Intel i AMD považují fyzické zásahy za mimo rozsah svých modelů hrozeb. Jedinou obranou je fyzické zabezpečení: kamery, řízení přístupu a důvěra, že váš poskytovatel cloudu není ohrožen. U služeb, které se spoléhají na ověření TEE, musíte hluboce porozumět tomu, kde se váš důvěryhodný hardware skutečně nachází.