Современные процессоры, вероятно, постоянно посещаются недостатками безопасности Spectre

Современные процессоры, вероятно, постоянно посещаются недостатками безопасности Spectre

С тех пор, как были раскрыты недостатки безопасности в серии Spectre и Meltdown, возникали вопросы о том, насколько безопасными могут быть современные процессоры, которые мы используем. В то же время различие в том, какие компании подвергались воздействию конкретных атак, создавало путаницу только в том, как взвесить доказательства. Или, прямо скажем, - действительно ли Spectre был проблемой только для Intel, а для других компаний - случайным?

У группы исследователей Google есть ответ на этот вопрос, и это не понравится людям. Мы цитируем:

Уязвимости из-за спекулятивного исполнения не являются ошибками процессора, но более правильно рассматриваются как фундаментальные недостатки проекта, поскольку они не возникают из-за ошибок. Тревожно, эти фундаментальные недостатки дизайна были упущены из виду на протяжении десятилетий. Наша статья показывает, что эти утечки являются не только недостатками дизайна, но и являются фундаментальными, на самой основе теоретических вычислений.

Современные процессоры, вероятно, постоянно посещаются недостатками безопасности Spectre

Исследовательские группы оценили множество идей, в том числе максимально возможное отключение спекулятивного выполнения с помощью инструкции LFENCE, с помощью стратегий уменьшения таймера (настройка точности различных системных таймеров) и использования маскирования без ответвлений, вместо того чтобы полагаться на инструкции перехода. чтобы обеспечить выполнение недоверенного кода. Ни одно из этих решений не является полным решением проблемы. Ни на одного из них нельзя было рассчитывать на обеспечение защиты от всех типов атак по побочным каналам, и даже комбинация передовых методов программного и аппаратного обеспечения не смогла защитить от любого типа эксплойта.

Нет простых исправлений, нет быстрых решений

По словам исследователей, состояние «черного ящика» микроархитектур и их зависимость от IP с закрытыми исходными кодами представляет собой огромный барьер для исследования и устранения уязвимостей побочных каналов. Еще сложнее узнать, как разрабатывать стратегии для эффективного долгосрочного смягчения последствий в будущих продуктах.

Они пишут:

Компьютерные системы стали чрезвычайно сложными для достижения, казалось бы, главной цели производительности. Мы были чрезвычайно успешны в том, чтобы сделать их более быстрыми и мощными, но также и более сложными, благодаря нашим многочисленным способам создания абстракций. Башня абстракций позволила нам обрести уверенность в наших разработках за счет раздельного рассуждения и проверки, отделения оборудования от программного обеспечения и введения границ безопасности. Но мы снова видим, что наши абстракции просачиваются, побочные каналы существуют вне наших моделей, и теперь, глубоко в аппаратном обеспечении, где мы не должны были видеть, существуют уязвимости в самих чипах, которые мы развернули во всем мире. Наши модели, наши ментальные модели ошибочны; мы все время обменивали безопасность на производительность и сложность и не знали об этом.

Степень, в которой мы знали или не «знали» об этих вещах, по-видимому, является вопросом интерпретации. Конечно, идея о том, что спекулятивное исполнение может представлять угрозу безопасности, концептуально известна десятилетиями. Увеличение количества транзисторов ЦП с каждым поколением продуктов, как правило, приветствуется как хорошая вещь, даже несмотря на то, что становится сложнее охладить эти транзисторы или запустить их на высоких тактовых частотах.

На сегодняшний день эксплойтов, направленных на Призрак и Расплавление, в дикой природе не было. Однако это похоже на случай «когда», а не «если», и игроки индустрии процессоров не хотят, чтобы их игнорировали. В то же время неясно, можно ли их когда-либо решить, не отказываясь от спекулятивного исполнения, и огромных преимуществ, которые оно обеспечивает.