Спомняте ли си експлойтите за сигурност Spectre и Meltdown от миналата година? Intel и AMD наистина се надяват да не го направите. Въпреки това, което те искат да вярвате, тези спекулативни експлойти за изпълнение няма да изчезнат, поне не и с решенията, предложени досега.
Съдържание
- Започвайки от корена
- Заобикаляне на призрака
- Сигурност, но на каква цена?
- Голям, малък и сигурен
- Довеждайки го до масите
Вместо да се опитвате да коригирате всеки вариант, който идва, постоянната корекция ще изисква фундаментална промяна в начина, по който са проектирани процесорите. Предложението? „Сигурно ядро“, което гарантира, че вашите данни остават в безопасност от нападатели, без значение какви грешки могат да се опитат да използват.
Препоръчани видеоклипове
Това може да не е пътят, който тези големи компании за процесори искат да поемат, но може да е единственият, който наистина работи.
Свързани
- Защитите на AMD срещу Spectre V2 може да са неадекватни
Започвайки от корена
Когато се пусне ново поколение процесори, първият въпрос в устата на всеки е „колко е бърз то?" Повече мегахерци, повече ядра, повече кеш, всичко това, за да могат приложенията да работят по-бързо и игрите да работят По-добре. Вторични съображения може да са изискванията за мощност или топлинна мощност, но рядко някой пита за сигурността.
Разбиране на Spectre и Meltdown
Проблемът с това е, че подобренията в производителността през последните няколко години се дължат предимно на спекулативна прогноза, тоест процесорите предполагат какво ще правите по-нататък и подготвят всичко, което бихте могли нужда от него. Това е страхотно за производителност, но както показаха Spectre и неговите варианти, това е ужасно за сигурността.
“Спекулативно изпълнение е функция за оптимизиране на производителността на процесорите от дълго време насам“, каза Жан-Филип Тагарт, старши изследовател на Malwarebytes за Digital Trends. Той обясни как именно тази характеристика прави процесорите на Intel и други уязвими към Spectre и подобни атаки. „Архитектурата на процесора ще се нуждае от сериозно преосмисляне, за да запази тези подобрения на производителността, но да ги защити от атаки като Spectre, или да ги премахне напълно“, каза той.
„Трудно е по отношение на сигурността, ако винаги реагирате, трябва да чакате за уязвимости в сигурността и след това да ги коригирате“
Едно потенциално решение е да се добави нов хардуер към следващите поколения процесори. Вместо да се справят с чувствителни задачи (които правят такива атаки заслужава) на процесорни ядра с висока мощност, какво ще стане, ако производителите на чипове комбинират тези ядра с допълнително ядро, което е специално проектирано с такива задачи в ума? Ядро за сигурност.
Това може да направи Spectre и неговите варианти непроблемни за нов хардуер. Няма да има значение, ако основните процесорни ядра на утрешния ден са уязвими на подобни атаки, тъй като личната или защитена информация вече няма да се обработва от тези ядра.
Тази концепция за корен на доверие е нещо повече от груба схема. В някои случаи това вече е жизнеспособен продукт и всички големи компании за чипове като Intel или AMD ще трябва да направят, за да се възползват от него, е да го приемат.
Заобикаляне на призрака
„Трудно е по отношение на сигурността, ако винаги реагирате, трябва да чакате за уязвимости в сигурността и след това да ги коригирате,“ Старши директор на продуктовия мениджмънт на Rambus, Бен Ливайн каза пред Digital Trends, когато го попитаха за текущия вариант на Spectre заплахи. „Този проблем да се опитваш да направиш сложен процесор защитен е наистина трудният начин. Това е мястото, където измислихме подхода за преместване на критична за сигурността функционалност към отделно ядро.“
Въпреки че не е първият, който предлага подобна идея, Rambus я усъвършенства. Това е Коренът на доверието на CryptoManager е отделно ядро, което ще стои на матрица на основен процесор, малко като концепцията big.little, която се среща в много мобилни процесори и дори в собствения Intel нов дизайн на Lakefield. Въпреки това, когато тези чипове използват по-малки ядра за пестене на енергия, сигурното основно ядро на доверието ще се фокусира върху сигурността преди всичко.
Той ще комбинира процесор без спекулативните аспекти на основните процесори, с ускорители за криптография и собствена защитена памет. Това ще бъде сравнително прост дизайн в сравнение с чудовищните процесори с общо предназначение, които управляват нашите компютри днес, но по този начин би било много по-сигурно.
Защитавайки себе си, защитеното ядро би могло да поеме най-чувствителните задачи, с които CPU ядрото с общо предназначение обикновено би се справило. Осигуряването на ключове за криптиране, валидирането на банкови транзакции, обработката на опити за влизане, съхраняването на лична информация в защитена памет или проверката на записите за зареждане не са били повредени по време на стартиране.
„… Тези операции се извършват относително бавно в софтуера, но ядрото за сигурност може да има хардуерни ускорители, които да правят това много по-бързо.“
Всичко това може да помогне за подобряване на общата сигурност на система, която го използва. Още по-добре, тъй като няма да има спекулативни подобрения в производителността, ще бъде напълно защитен срещу подобни на Spectre атаки, обезсилвайки ги. Такива атаки все още могат да бъдат наложени срещу основните ядра на процесора, но тъй като те няма да обработват никакви данни, които биха си стрували да бъдат откраднати, това няма да има значение.
„Идеята не е да измислим един CPU, който може да направи всичко, за да бъде много бърз и много сигурен, но нека оптимизираме различните ядра поотделно за различни цели“, обясни Левин. „Нека оптимизираме основния си процесор за производителност или по-ниска мощност, каквото и да е важно за тази система, и да оптимизираме друго ядро за сигурност. Сега имаме тези два отделно оптимизирани домейна за обработка и извършваме обработка в който от тях е най-подходящ, като се има предвид характеристиката на изчислението и системата.“
Такова ядро ще работи малко като T2 копроцесорния чип, който Apple представи със своя iMac и по-късно внедри в своя 2018 г.
Сигурност, но на каква цена?
Често се казва, че сложността е враг на сигурността. Ето защо защитеният основен дизайн, който Rambus предлага, е относително прост. Това не е голям, чудовищен чип с множество ядра и висока тактова честота като типичните процесори, намиращи се в настолни компютри или лаптопи.
И така, означава ли това, че ще пожертваме производителността, ако такова ядро трябва да се използва заедно с модерен чип? Не е задължително.
Важната идея за сигурно ядро, независимо дали става въпрос за CryptoManager Root of Trust на Rambus или подобен дизайн от друга фирма е, че ще изпълнява само задачи, които са фокусирани върху поверителността или сигурност. Няма да ви трябва, за да поеме храненето ви графична карта по време на игрова сесия или променяне на изображения във Photoshop. Все пак може да предпочетете да се справя с криптирането на вашите съобщения през приложение за чат. Това е мястото, където специализираният хардуер може да има някои предимства извън сигурността.
„Неща като криптографски алгоритми, криптиране или декриптиране от алгоритъм като AES или използване на алгоритъм с публичен ключ като RSA или елиптичен кривата, тези операции са сравнително бавни за извършване в софтуера, но ядрото за сигурност може да има хардуерни ускорители, които да правят това много по-бързо,” Levine казах.
„Ние се стремим към простота и ако поддържате нещо просто, го поддържате малко. Ако е малък, значи е с ниска мощност.“
Това е нещо, с което ръководителят на IoT сигурността на Arm Роб Кумбс е много съгласен.
„Обикновено коренът на тръстовете ще се вгради в крипто ускорител, така че това отнема малко повече силикон, но положителното за това е, че е по-висока производителност за неща като крипто функции, така че не разчитате само на процесора за извършване на редовно криптиране на файла“, той казах. „Процесорът може да го настрои и след това криптовалутата може да прегледа данните и да ги шифрова или дешифрира. Получавате по-висока производителност.“
Съвременните процесори от типа на Intel имат свои собствени крипто-ускорители, така че може да не е така, че криптирането или декриптирането би било фундаментално по-бързо от CPU с общо предназначение, изпълняващо същата задача, но може да бъде сравними.
Въпреки че Кумбс подчерта в чата си с нас, че ядрото на root of trust би изисквало малко допълнителен силиций за производство, цената на правейки това върху други важни фактори като производствената цена, мощността на чипа или неговата топлинна мощност, ще бъде най-вече незасегнати.
Бен Ливайн от Rambus се съгласи.
„Ядрото за сигурност е съвсем мъничко в сравнение с всичко останало“, каза той. „Наистина няма значително влияние върху цената на чипа, мощността или топлинните изисквания. Можете да направите много в доста малка логическа област, ако я проектирате внимателно. Ние се стремим към простота и ако поддържате нещо просто, го поддържате малко. Ако е малък, значи е с ниска мощност.“
Единственото му предупреждение беше, че при по-малки устройства с по-ниска мощност като тези, използвани в IoT, защитеното ядро на Rambus би имало по-голямо въздействие върху мощността и разходите. Това е мястото, където може да влезе по-модулният подход на Arm.
Голям, малък и сигурен
Arm беше ранен пионер на идеята за голям.малък Централни процесори или големи ядра и малки ядра в един и същи процесор. Днес това е често срещана функция и в мобилните устройства на Qualcomm и Apple. Той вижда по-големи CPU ядра, използвани за тежко повдигане, когато и когато е необходимо, докато по-малките ядра се справят с по-често срещаните задачи, за да пестят енергия. Подходът на Arm се основава на тази идея за изграждане на корен на доверие в основните чипове, както и в много по-малки микроконтролери за използване в по-широк набор от устройства.
„Дефинирахме нещо, наречено a PSA (архитектура за сигурност на платформата) корен на доверие с някои основни функции за сигурност, вградени като криптография, защитено зареждане, защитено съхранение; Всяко IOT устройство ще има нужда от тях“, обясни Кообс на Digital Trends.
От всички големи производители на чипове Arm беше най-малко засегнат от Spectre и Meltdown. Където Intel беше уязвим на най-широк кръг от потенциални атаки и AMD трябваше да пусне редица микрокодове и софтуерни настройки, Arm успя да укрепи своите вече стабилни защити, преди спекулативни грешки при изпълнение разкри.
Сега Arm съсредоточава усилията си върху осигуряването на интернет на нещата. Coombs вярва, че сигурното ядро, коренът на доверието е един от най-добрите начини за това и той иска да види всяко IoT устройство да прилага такава система. За да помогне за постигането му, Arm предлага софтуер с отворен код, насоки за разработка и хардуерни решения за проблемите със сигурността, пред които са изправени днешните IoT разработчици.
.. Голяма част от използването на защитното ядро ще се извършва на ниво операционна система и система, а не на ниво приложение
„Създадохме референтна реализация с отворен код и сега със сертификат от PSA създадохме a многостепенна схема за сигурност, [където] хората могат да избират надеждността на сигурността, от която се нуждаят“, каза Кумбс. „Различните системи се нуждаят от различно ниво на сигурност. Искаме да направим това подходящо за IoT пространството.“
Прилагайки тези принципи към по-големи процесори с общо предназначение, намиращи се в лаптопи и настолни компютри, крайният резултат няма да бъде драстично различен. Въпреки че такива чипове няма да имат малки ядра заедно с големите си, те биха могли да внедрят сигурно ядро върху матрицата без много трудности, според Бен Ливайн от Rambus.
„Тези ядра трябва да бъдат и трябва да бъдат много по-малки от едно от основните големи CPU ядра, които получавате в чип от Intel или AMD“, каза той. „Няма да бъде седем плюс едно, ще бъде осем или какъвто и да е ядрен процесор и едно или може би повече от едно малко ядро за сигурност, което осигурява функции за сигурност за всички останали ядра.“
От решаващо значение също е, че такива ядра дори не биха били сложни за изпълнение.
„Няма да добавим много към цикъла на проектиране на чипове за въвеждане на нов чип в потребителски продукт“, каза той. „Нашето въздействие ще бъде доста минимално. Това просто ще бъде нормалният жизнен цикъл на продукта за въвеждане на разработката на архитектура на чип в производство, след това в доставка на продукти.“
Довеждайки го до масите
Сигурността може да бъде проблем с кокошката и яйцето, като разработчиците нямат желание да я внедрят без конкретна нужда или търсене от страна на клиентите. Но ако производителите на хардуер трябваше да комбинират съществуващите си процесорни ядра със сигурен основен корен на доверие, работата на разработчиците на софтуер би била относително лесна.
„В зависимост от приложението, голяма част от използването на защитното ядро ще се извършва на ниво операционна система и система, а не на ниво приложение“, обясни Левин. „Ако изграждате вашата операционна система и цялостния системен софтуер правилно, можете да използвате по-голямата част от тази функционалност за сигурност, без разработчиците на приложения да се притесняват за това. Можете да предоставите API, за да разкриете някои от основните функции на сигурността, които лесно могат да бъдат използвани от разработчика на приложения, като криптиране и декриптиране на данни.
Чрез включването на корена на доверието в самия хардуер и оставянето на отговорността за внедряването му на операционните системи, разработчиците на софтуер може бързо да се възползва от добавената сигурност, която може да донесе на всички аспекти на компютрите, включително избягване на капаните на Spectre и неговите подобни
Това може да е мястото, където компании като Intel и AMD са се объркали досега. Въпреки че техните пачове, корекции на микрокодове и хардуерни настройки са помогнали за смекчаване на някои от проблемите на атаките, подобни на Spectre, всички те идват със своите собствени капани. Производителността е влошена и в много случаи незадължителните пачове не се прилагат от производителите на устройства, защото те не искат да загубят надпреварата във въоръжаването.
Вместо това Rambus, Arm и други се стремят изцяло да избегнат проблема.
„Ние не твърдим, че поправяме Spectre или Meltdown, това, което казваме е първо, че тези експлойти не са единствените уязвимости там“, каза Левин. „Винаги ще има повече. Сложността на съвременните процесори прави това неизбежно. Нека променим проблема и нека приемем, че ще има повече уязвимости в процесорите с общо предназначение и нещата които ни интересуват много, като ключове, идентификационни данни, данни, нека ги преместим извън процесора и нека заобиколим целия проблем.
По този начин потребителите могат да се доверят, че системата им е защитена, без да се налага да жертват нищо. Коренът на хардуера за доверие означава, че всички данни, които са откраднати, са безполезни за никого. Оставя призрака на Spectre в сенчестата област на излишъка, където може да продължи да преследва онези, които използват стар хардуер. Но докато хората надграждат до нови, оборудвани с root of trust бъдещи поколения хардуер, това ще става все по-неуместно и далеч по-малко притеснително.
Препоръки на редакторите
- AMD може най-накрая да победи Intel за най-бързия процесор за мобилни игри
- Чиповете на Intel все още са уязвими и новото Ice Lake няма да закърпи всичко
