Gigazine「Nintendo Switchのルートキーを取得する方法をハッカーが解説」

2018年にもNintendo Switchのルートキーを取得したことがあるというハッカーのplutoo氏が、アップデートによりセキュリティ機能が強化された最新のNintendo Switchのルートキーを取得する方法を公開しました。

Full key extraction of NVIDIA™ TSEC
https://gist.githubusercontent.com/plutooo/733318dbb57166d203c10d12f6c24e06/raw/15c5b2612ab62998243ce5e7877496466cabb77f/tsec.txt

リリース当初のNintendo Switchは「JoyConのレールにアルミホイルをねじ込んでショートさせてデバッグモードに無理矢理入る」という手法も存在するほどハッキングが容易でした。
今回ルートキーを取得する方法を発表したplutoo氏は、2018年時点でNintendo Switchにカーネルレベルでアクセスして完全に端末の制御を得る方法を公開していた人物です。

上述のようにplutoo氏は2018年時点でNintendo Switchをほぼ完全にハッキングしていたわけですが、この後に任天堂はアップデートによってハッキングの問題を解決しています。
通常、セキュリティ上の問題に対処するにはソフトウェアをアップデートするのが一般的です。
しかし、Nintendo Switchの発売当時に問題になったのは、ハードウェア上の問題であったため、すでに販売されているものに修正を施すことはほぼ不可能と考えられていました。
このような困難のさなかに任天堂は、Nintendo SwitchのメインCPUであるNvidia Tegra X1に搭載された「TSEC」という暗号化ユニットを用いて問題を解決しました。

このTSECは独立したSRAMと独立したセキュアブート、バスマスタリング機能およびNintendo Switchのメモリにダイレクトメモリアクセスする機能を有しており、
任天堂は2018年11月に配布したファームウェアアップデート6.2.0で「TSECでメモリを強制的に再起動させてハッキングを無効化してから起動する」という手法を実現。
ハードウェアに一切手を加えることなく、既存のハッキング方法を無効化することに成功しました。

今回plutoo氏が公開したのは、そのTSECを突破してNintendo Switchからルートキーを改めて引きずり出すという方法。
同氏によると、Nintendo Switchは搭載されているCMOSの電圧不足を防ぐために、CMOSの0.6～0.7Vという必要電圧を大きく超える1.1Vという電圧で安定するような仕掛けが施されています。
しかし、Nintendo Switchには「電圧スケーリング」と呼ばれる「パフォーマンス設定に応じてメインCPUが自らの電圧を調整して出力を上げたり下げたりする」という機能が搭載されており、CPUから電圧を制御することが可能だったとのこと。

すでにメインCPUからコードを実行する脆弱性は発見されていたため、plutoo氏は電圧を下げるコマンドを送信。
0.6V以下の電圧ではチップ全体がフリーズするものの、0.6～0.72Vという低電圧状態ではメモリに「ビット反転」と呼ばれるエラーが生じることを突き止めました。

エラー時と正常時の挙動の差から秘密鍵を割り出す差分故障解析を実行したところ、実際に以下のようなAESに関連するキーが判明したとのことです。

あれ？プレステ５でもやってたよな
「ＰＳ５割れれたー！オワター！」狂喜乱舞してたね

Gigazineはアカヒ系なので踏みません、悪しからず

本文中にこれを長々と記載する狂気↓

＞エラー時と正常時の挙動の差から秘密鍵を割り出す差分故障解析を実行したところ、実際に以下のようなAESに関連するキーが判明したとのことです。

＞sha256(csecret_00)=7c20cef183f6184f7c5a877040ec63fa44ad42178b1aa6af9932568fc468e426
＞sha256(csecret_01)=43449338c1bc8ceb1b3232a611f955f9095254f492117a158528589cd16f2930 NVIDIA TSEC code signing key
＞……以下60行ぐらいキーを羅列