Pamatujete si na bezpečnostní exploity Spectre a Meltdown z minulého roku? Intel a AMD opravdu doufají, že vy ne. Navzdory tomu, čemu chtějí, abyste věřili, tyto spekulativní exekuční exploity nezmizí, alespoň ne s dosud navrženými řešeními.
Obsah
- Počínaje kořenem
- Strašidlo uhýbání
- Bezpečnost, ale za jakou cenu?
- Velký, malý a bezpečný
- Přinášet to masám
Namísto snahy opravit každou variantu, která se objeví, bude trvalá oprava vyžadovat zásadní změnu v tom, jak jsou navrženy CPU. Návrh? „Zabezpečené jádro“, které zajišťuje, že vaše data zůstanou v bezpečí před útočníky, bez ohledu na to, jaké chyby by se mohli pokusit zneužít.
Doporučená videa
Možná to není cesta, kterou se chtějí tyto velké zpracovatelské společnosti vydat, ale může to být jediná cesta, která skutečně funguje.
Příbuzný
- Obrana AMD proti Spectre V2 může být nedostatečná
Počínaje kořenem
Když je uvedena nová generace procesorů, první otázka na rtech každého zní: „Jak rychlý je to?" Více megahertzů, více jader, více mezipaměti, to vše pro rychlejší běh aplikací a výkon her lepší. Sekundárními faktory mohou být požadavky na napájení nebo tepelný výkon, ale jen zřídka se někdo ptá na bezpečnost.
Pochopení Spectre a Meltdown
Problém s tím je, že zvýšení výkonu v posledních několika letech bylo většinou způsobeno spekulativní předpověď, to znamená, že CPU odhadují, co budete dělat dál, a připravují vše, co můžete potřeba to. To je skvělé pro výkon, ale jak ukázal Spectre a jeho varianty, je to hrozné pro bezpečnost.
“Spekulativní provedení je již dlouhou dobu funkcí optimalizující výkon CPU,“ řekl pro Digital Trends Jean-Philippe Taggart, senior bezpečnostního výzkumu Malwarebytes. Vysvětlil, jak právě tato funkce činí procesory Intel a ostatních zranitelnými vůči Spectre a podobným útokům. „Architektura CPU bude potřebovat vážné přehodnocení, aby si tato vylepšení výkonu buď zachovala, ale chránila je před útoky, jako je Spectre, nebo je úplně odstranila,“ řekl.
"Je to těžké v zabezpečení, pokud jste neustále reaktivní, musíte čekat na zranitelnosti zabezpečení a pak je opravovat"
Jedním z potenciálních řešení je přidat nový kus hardwaru do nadcházejících generací CPU. Místo zpracování citlivých úkolů (které takové útoky provádějí stojí za to) na procesorových jádrech s vysokým výkonem, co kdyby výrobci čipů zkombinovali tato jádra s dalším jádrem, které je speciálně navrženo pro úkoly na mysli? Bezpečnostní jádro.
Pokud tak učiníte, mohlo by se stát, že Spectre a jeho varianty nebudou pro nový hardware problém. Nezáleželo by na tom, kdyby hlavní jádra CPU zítřka byla vůči takovým útokům zranitelná, protože tato jádra by již nezpracovávala soukromé nebo zabezpečené informace.
Tento koncept kořene důvěry je víc než jen hrubý nástin. V některých případech je to již životaschopný produkt a všechny velké čipové společnosti jako Intel nebo AMD by musely udělat, aby jej využily, je přijmout jej.
Strašidlo uhýbání
"Je to těžké v zabezpečení, pokud jste neustále reaktivní, musíte čekat na zranitelnosti zabezpečení a pak je opravovat," Ben Levine, vrchní ředitel produktového managementu společnosti Rambus, řekl Digital Trends, když byl dotázán na probíhající variantu Spectre hrozby. „Problém pokusů o zabezpečení složitého procesoru je opravdu obtížný. To je místo, kde jsme přišli s přístupem přesunu funkcí kritických pro zabezpečení do samostatného jádra.“
Přestože Rambus nebyl první, kdo takovou myšlenku navrhl, zdokonalil ji. Své Kořen důvěry CryptoManager je samostatné jádro, které by sedělo na hlavním procesoru, trochu jako koncept big.little nalezený v mnoha mobilních procesorech a dokonce i ve vlastních procesorech Intel nový design Lakefield. Pokud však tyto čipy používají menší jádra pro úsporu energie, bezpečný jádrový kořen důvěry by se zaměřil na bezpečnost především.
Kombinoval by procesor bez spekulativních aspektů hlavních CPU, s akcelerátory pro kryptografii a vlastní bezpečnou pamětí. Byl by to relativně jednoduchý design ve srovnání s monstrózními univerzálními CPU, na kterých dnes běží naše počítače, ale bylo by to mnohem bezpečnější.
Při své ochraně by pak zabezpečené jádro mohlo převzít nejcitlivější úkoly, které by jinak obecné jádro CPU obvykle zvládlo. Zabezpečení šifrovacích klíčů, ověřování bankovních transakcí, zpracování pokusů o přihlášení, ukládání soukromých informací do zabezpečené paměti nebo kontrola spouštěcích záznamů nebyly během spouštění poškozeny.
"... Tyto operace jsou softwarově relativně pomalé, ale bezpečnostní jádro může mít hardwarové akcelerátory, které to dělají mnohem rychleji."
To vše by mohlo pomoci zlepšit obecné zabezpečení systému, který to využíval. Ještě lépe, protože by postrádal spekulativní vylepšení výkonu, byl by zcela bezpečný proti útokům podobným Spectre, které by je znehodnotily. Takové útoky by stále mohly být uvaleny na hlavní jádra CPU, ale protože by nezpracovávaly žádná data, která by stála za krádež, na tom by nezáleželo.
„Myšlenka není přijít s jedním procesorem, který dokáže všechno, aby byl velmi rychlý a velmi bezpečný, ale pojďme optimalizovat různá jádra samostatně pro různé cíle,“ vysvětlil Levine. „Pojďme optimalizovat náš primární CPU pro výkon nebo nižší spotřebu, ať je to pro daný systém důležité, a optimalizujme další jádro pro zabezpečení. Nyní máme tyto dvě samostatně optimalizované domény zpracování a provádíme zpracování podle toho, která z nich je nejvhodnější s ohledem na charakteristiku výpočtu a systému.“
Takové jádro by fungovalo trochu jako koprocesorový čip T2, který Apple představil se svým iMacem a později implementoval v roce 2018.
Bezpečnost, ale za jakou cenu?
Často se říká, že složitost je nepřítelem bezpečnosti. Proto je návrh bezpečného jádra, který Rambus navrhuje, relativně jednoduchý. Není to velký, monstrózní čip s více jádry a vysokým taktem, jako jsou typické procesory na stolních počítačích nebo notebooky.
Znamená to tedy, že bychom obětovali výkon, kdyby se takové jádro mělo používat vedle moderního čipu? Ne nutně.
Důležité je vzít si domů z myšlenky bezpečného jádra, ať už to byl Rambus’ CryptoManager Root of Trust, nebo podobný návrh od jiné firmy, je, že by plnil pouze úkoly, které byly zaměřeny na soukromí resp bezpečnostní. Nepotřebovali byste ji, aby převzala vaše krmení grafická karta během hraní her nebo ladění obrázků ve Photoshopu. Možná však dáváte přednost šifrování zpráv přes chatovací aplikaci. To je místo, kde by specializovaný hardware mohl mít některé výhody nad rámec zabezpečení.
„Věci jako kryptografické algoritmy, šifrování nebo dešifrování z algoritmu, jako je AES, nebo pomocí algoritmu veřejného klíče, jako je RSA nebo eliptický Tyto operace jsou softwarově relativně pomalé, ale bezpečnostní jádro může mít hardwarové akcelerátory, které to dělají mnohem rychleji,“ Levine řekl.
„Fotíme pro jednoduchost, a pokud něco zjednodušujete, držte to malé. Pokud je malý, má nízký výkon."
To je něco, s čím Armův šéf bezpečnosti IoT, Rob Coombs, velmi souhlasí.
„Root trustů se obvykle zabuduje do kryptoakcelerátoru, takže to vyžaduje trochu více křemíku, ale výhodou je, že vyšší výkon pro věci, jako jsou kryptografické funkce, takže se nespoléháte pouze na procesor, který bude provádět pravidelné šifrování souboru,“ řekl řekl. „Procesor to může nastavit a šifrovací stroj pak může data prokousat a zašifrovat nebo dešifrovat. Získáte vyšší výkon."
Moderní procesory jako Intel mají své vlastní kryptoakcelerátory, takže se nemusí stát, že šifrování nebo dešifrování by bylo zásadně rychlejší než univerzální CPU dokončující stejný úkol, ale mohlo by být srovnatelný.
Ačkoli Coombs ve svém chatu s námi zdůraznil, že jádro důvěryhodného jádra by vyžadovalo k výrobě trochu křemíku navíc, náklady na tak na jiných důležitých faktorech, jako je cena výroby, spotřeba energie čipu nebo jeho tepelné výkony, by byly většinou nedotčeno.
Rambusův Ben Levine souhlasil.
"Bezpečnostní jádro je ve srovnání se vším ostatním jen nepatrné," řekl. „Ve skutečnosti to nemá žádný významný dopad na náklady na čip, napájení nebo tepelné požadavky. Můžete udělat hodně v docela malé logické oblasti, pokud ji pečlivě navrhnete. Fotíme pro jednoduchost, a pokud máte něco jednoduchého, nechte to malé. Pokud je malý, má nízký výkon."
Jeho jedinou výhradou bylo, že v menších zařízeních s nižší spotřebou, jako jsou zařízení používaná v IoT, bude mít zabezpečené jádro Rambus větší dopad na výkon a náklady. To je místo, kde by mohl přijít modulární přístup Arm.
Velký, malý a bezpečný
Arm byl prvním průkopníkem myšlenky velký.malý CPU nebo velká jádra a malá jádra ve stejném procesoru. Dnes je to běžná funkce v mobilních zařízeních od Qualcommu a Apple. Vidí, že větší jádra CPU se používají pro těžké zvedání podle potřeby, zatímco menší jádra zvládají běžnější úkoly, aby šetřily energii. Přístup společnosti Arm staví na této myšlence vybudovat kořen důvěry v hlavních čipech a také v mnohem menších mikrokontrolérech pro použití v širší řadě zařízení.
"Definovali jsme něco, co se nazývá a PSA (platformní bezpečnostní architektura) kořen důvěry s některými vestavěnými základními bezpečnostními funkcemi, jako je kryptografie, bezpečné spouštění, bezpečné úložiště; Bude je potřebovat každé zařízení IOT,“ vysvětlil Coobs pro Digital Trends.
Ze všech hlavních výrobců čipů byl Arm pravděpodobně nejméně zasažen Spectre a Meltdown. Kde byl Intel zranitelný vůči nejširšímu okruhu potenciálních útoků a AMD muselo vydat řadu mikrokódů a softwarových vylepšení, Arm byl schopen podepřít svou již tak robustní obranu před spekulativními chybami při provádění odhaleno.
Nyní Arm zaměřuje své úsilí na zabezpečení internetu věcí. Coombs věří, že bezpečné jádro, kořen důvěry, je jedním z nejlepších způsobů, jak toho dosáhnout, a chce, aby každé zařízení IoT implementovalo takový systém. Aby toho bylo dosaženo, Arm nabízí open source software, vývojové pokyny a hardwarová řešení pro bezpečnostní problémy, kterým čelí dnešní vývojáři IoT.
.. Velká část využití bezpečnostního jádra bude provedena na úrovni operačního systému a systému, nikoli na úrovni aplikace
„Vytvořili jsme open source a referenční implementaci a nyní s certifikací PSA jsme vytvořili a víceúrovňové bezpečnostní schéma [kde] si lidé mohou vybrat robustnost zabezpečení, kterou potřebují,“ řekl Coombs. „Různé systémy vyžadují různé úrovně zabezpečení. Chceme to přizpůsobit prostoru IoT.“
Aplikováním těchto principů na větší, univerzální CPU, které se nacházejí v laptopech a stolních počítačích, by se konečný výsledek výrazně nelišil. I když by takové čipy neměly malá jádra vedle svých velkých, mohly by podle Rambuse Bena Levinea bez větších problémů implementovat bezpečné jádro.
„Tato jádra by měla být a musí být mnohem menší než jedno z hlavních velkých CPU jader, které získáte v čipu od Intelu nebo AMD,“ řekl. "Nebude to sedm plus jedna, bude to osmijádrový procesor a jedno nebo možná více než jedno malé bezpečnostní jádro, které poskytuje bezpečnostní funkce pro všechna ostatní jádra."
Rozhodující je také to, že implementace takových jader by ani nebyla složitá.
„Nebudeme moc přidávat do cyklu návrhu čipu zavádění nového čipu do spotřebitelského produktu,“ řekl. "Náš dopad bude docela minimální. Prostě to bude normální životní cyklus produktu, kdy se vývoj architektury čipu dostane do výroby a poté do expedice produktů.“
Přinášet to masám
Bezpečnost může být problémem slepice a vejce, vývojáři ji nechtějí implementovat bez konkrétní potřeby nebo požadavku ze strany zákazníků. Pokud by však výrobci hardwaru spojili svá stávající jádra CPU s bezpečným kořenem důvěry, práce softwarových vývojářů by byla relativně snadná.
„V závislosti na aplikaci bude velká část využití jádra zabezpečení provedena na úrovni operačního systému a systému, nikoli na úrovni aplikace,“ vysvětlil Levine. „Pokud svůj operační systém a celkový systémový software vytváříte správně, můžete většinu těchto funkcí zabezpečení využívat, aniž by se o to museli vývojáři aplikací starat. Můžete poskytnout rozhraní API k odhalení některých základních funkcí zabezpečení, které by vývojář aplikace mohl snadno využít, jako je šifrování a dešifrování dat.
Začleněním kořene důvěry v samotný hardware a ponecháním břemene na jeho implementaci operačním systémům, vývojářům softwaru mohl rychle těžit z přidané bezpečnosti, kterou by mohl přinést do všech aspektů výpočetní techniky, včetně vyhnutí se nástrahám Spectre a jeho podobně.
To by mohlo být místo, kde společnosti jako Intel a AMD dosud dělaly chybu. Zatímco jejich záplaty, opravy mikrokódů a hardwarové úpravy pomohly zmírnit některé problémy útoků podobných Spectre, všechny přicházejí s vlastními úskalími. Výkon byl snížen a v mnoha případech výrobci zařízení neaplikují volitelné záplaty, protože nechtějí prohrát závody ve zbrojení.
Místo toho se Rambus, Arm a další snaží tomuto problému úplně vyhnout.
"Netvrdíme, že opravujeme Spectre nebo Meltdown, říkáme zaprvé, že tyto exploity nejsou jedinou zranitelností," řekl Levine. "Vždy bude víc. Kvůli složitosti moderních procesorů je to nevyhnutelné. Změňme problém a připusťme, že v univerzálních CPU a věcech bude více zranitelností na kterých nám hodně záleží, jako jsou klíče, přihlašovací údaje, data, přesuňme je z CPU a obejdeme celý problém.“
Uživatelé tak mohou důvěřovat, že jejich systém je bezpečný, aniž by museli cokoliv obětovat. Kořen důvěry hardwaru znamená, že jakákoli data, která jsou ukradena, jsou pro nikoho k ničemu. Nechává ducha Spectre v temné říši redundance, kde může i nadále pronásledovat ty, kteří používají starý hardware. Ale jak lidé upgradují na nový hardware budoucích generací vybavených důvěrou, stal by se to stále více irelevantní a mnohem méně znepokojivé.
Doporučení redakce
- AMD možná konečně porazí Intel v kategorii nejrychlejšího mobilního herního CPU
- Čipy Intelu jsou stále zranitelné a nový Ice Lake vše neopraví
