Erinnern Sie sich an die Sicherheits-Exploits Spectre und Meltdown vom letzten Jahr? Intel und AMD hoffen wirklich, dass Sie das nicht tun. Ungeachtet dessen, was sie Ihnen weismachen wollen, werden diese spekulativen Hinrichtungsangriffe nicht verschwinden, zumindest nicht mit den bisher vorgeschlagenen Lösungen.
Inhalt
- Von der Wurzel ausgehend
- Spectre ausweichen
- Sicherheit, aber zu welchem Preis?
- Groß, klein und sicher
- Bringen Sie es zu den Massen
Anstatt zu versuchen, jede auftauchende Variante zu reparieren, erfordert eine dauerhafte Lösung eine grundlegende Änderung des CPU-Designs. Der Vorschlag? Ein „sicherer Kern“, der dafür sorgt, dass Ihre Daten vor Angreifern geschützt bleiben, egal welche Fehler diese ausnutzen möchten.
Empfohlene Videos
Es ist vielleicht nicht der Weg, den diese großen Prozessorunternehmen einschlagen wollen, aber es könnte der einzige sein, der tatsächlich funktioniert.
Verwandt
- AMDs Abwehrmaßnahmen gegen Spectre V2 sind möglicherweise unzureichend
Von der Wurzel ausgehend
Wenn eine neue Generation von Prozessoren auf den Markt kommt, stellt sich zunächst einmal die Frage: „Wie schnell ist das?“ Es?" Mehr Megahertz, mehr Kerne, mehr Cache – alles, um Anwendungen schneller laufen zu lassen und Spiele leistungsfähiger zu machen besser. Sekundäre Überlegungen könnten der Strombedarf oder die Wärmeabgabe sein, aber kaum jemand fragt nach der Sicherheit.
Spectre und Meltdown verstehen
Das Problem dabei ist, dass die Leistungssteigerungen der letzten Jahre größtenteils auf Folgendes zurückzuführen sind Spekulative Vorhersagen, das bedeutet, dass CPUs raten, was Sie als Nächstes tun werden, und alles vorbereiten, was Sie möglicherweise tun Bedarf dafür. Das ist großartig für die Leistung, aber wie Spectre und seine Varianten gezeigt haben, ist es für die Sicherheit schrecklich.
“Spekulative Ausführung ist schon seit langem eine leistungsoptimierende Funktion von CPUs“, sagte Jean-Philippe Taggart, leitender Sicherheitsforscher bei Malwarebytes, gegenüber Digital Trends. Er erklärte, dass genau diese Funktion die CPUs von Intel und anderen anfällig für Spectre- und ähnliche Angriffe macht. „Die CPU-Architektur muss gründlich überdacht werden, um diese Leistungsverbesserungen entweder beizubehalten, sie aber vor Angriffen wie Spectre zu schützen, oder sie ganz abzuschaffen“, sagte er.
„Im Sicherheitsbereich ist es schwierig, wenn man immer reagieren muss, auf Sicherheitslücken warten und diese dann beheben muss.“
Eine mögliche Lösung besteht darin, den kommenden CPU-Generationen eine neue Hardware hinzuzufügen. Anstatt sensible Aufgaben zu erledigen (die solche Angriffe ermöglichen). Was wäre, wenn Chiphersteller diese Kerne mit einem zusätzlichen Kern kombinieren würden, der speziell dafür entwickelt wurde? Aufgaben im Sinn? Ein Sicherheitskern.
Dadurch könnten Spectre und seine Varianten für neue Hardware kein Problem darstellen. Es würde keine Rolle spielen, wenn die Haupt-CPU-Kerne von morgen für solche Angriffe anfällig wären, da private oder sichere Informationen von diesen Kernen nicht mehr verarbeitet würden.
Dieses Root-of-Trust-Konzept ist mehr als nur eine grobe Skizze. In einigen Fällen handelt es sich bereits um ein realisierbares Produkt, und alle großen Chiphersteller wie Intel oder AMD müssten es übernehmen, um davon zu profitieren.
Spectre ausweichen
„Im Sicherheitsbereich ist es schwierig, wenn man immer reagieren muss, auf Sicherheitslücken warten und diese dann beheben muss.“ Ben Levine, Senior Director für Produktmanagement bei Rambus, sagte gegenüber Digital Trends, als er nach der laufenden Spectre-Variante gefragt wurde Bedrohungen. „Das Problem, einen komplexen Prozessor sicher zu machen, ist wirklich ein harter Weg. Daraus haben wir den Ansatz entwickelt, sicherheitskritische Funktionen in einen separaten Kern zu verlagern.“
Obwohl Rambus nicht der Erste ist, der eine solche Idee vorschlägt, hat er sie verfeinert. Es ist CryptoManager Root of Trust ist ein separater Kern, der auf einem großen CPU-Chip sitzt, ein wenig wie das big.little-Konzept, das in vielen mobilen Prozessoren und sogar in Intels eigenen zu finden ist neues Lakefield-Design. Wenn diese Chips jedoch kleinere Kerne verwenden, um Strom zu sparen, würde sich ein sicherer Kern-Vertrauensanker vor allem auf die Sicherheit konzentrieren.
Es würde einen Prozessor ohne die Spekulationsaspekte großer CPUs mit Beschleunigern für die Kryptographie und einem eigenen sicheren Speicher kombinieren. Im Vergleich zu den monströsen Allzweck-CPUs, die unsere Computer heute betreiben, wäre es ein relativ einfaches Design, aber dadurch wäre es weitaus sicherer.
Indem er sich selbst schützt, kann der sichere Kern dann die sensibelsten Aufgaben übernehmen, die ein ansonsten universell einsetzbarer CPU-Kern normalerweise bewältigen würde. Die Sicherung von Verschlüsselungsschlüsseln, die Validierung von Banktransaktionen, die Verarbeitung von Anmeldeversuchen, die Speicherung privater Informationen im sicheren Speicher oder die Überprüfung von Startdatensätzen wurden beim Start nicht beschädigt.
„… Diese Vorgänge sind in Software relativ langsam, aber ein Sicherheitskern kann über Hardwarebeschleuniger verfügen, um dies viel schneller zu erledigen.“
All dies könnte dazu beitragen, die allgemeine Sicherheit eines Systems zu verbessern, das es nutzt. Besser noch: Da es keine spekulativen Leistungsverbesserungen gäbe, wäre es völlig sicher gegen Spectre-ähnliche Angriffe, die diese ungültig machen würden. Solche Angriffe könnten immer noch gegen die Haupt-CPU-Kerne gerichtet werden, aber da sie keine Daten verarbeiten würden, die es wert wären, gestohlen zu werden, wäre das egal.
„Die Idee besteht nicht darin, eine CPU zu entwickeln, die alles kann, um sehr schnell und sehr sicher zu sein, sondern dass wir verschiedene Kerne separat für unterschiedliche Ziele optimieren“, erklärte Levine. „Lassen Sie uns unsere primäre CPU auf Leistung oder geringeren Stromverbrauch optimieren, je nachdem, was für dieses System wichtig ist, und einen anderen Kern auf Sicherheit optimieren.“ Wir haben jetzt diese beiden separat optimierten Verarbeitungsdomänen und führen die Verarbeitung in dem aus, der angesichts der Eigenschaften der Berechnung und des Systems am besten geeignet ist.“
Ein solcher Kern würde ein wenig wie der T2-Coprozessorchip funktionieren, den Apple mit seinem iMac eingeführt und später im Jahr 2018 implementiert hat
Sicherheit, aber zu welchem Preis?
Es wird oft gesagt, dass Komplexität der Feind der Sicherheit sei. Aus diesem Grund ist das von Rambus vorgeschlagene sichere Kerndesign relativ einfach. Es handelt sich nicht um einen großen, monströsen Chip mit mehreren Kernen und einer hohen Taktrate wie typische CPUs in Desktops oder Laptops.
Bedeutet das also, dass wir Leistungseinbußen hinnehmen müssten, wenn ein solcher Kern zusammen mit einem modernen Chip verwendet würde? Nicht unbedingt.
Die wichtige Erkenntnis aus der Idee eines sicheren Kerns, sei es der CryptoManager Root of Trust von Rambus oder Ein ähnliches Design einer anderen Firma besteht darin, dass es nur Aufgaben ausführen würde, die auf den Datenschutz ausgerichtet sind Sicherheit. Sie würden es nicht brauchen, um Ihre Ernährung zu übernehmen Grafikkarte während einer Spielesitzung oder beim Optimieren von Bildern in Photoshop. Möglicherweise bevorzugen Sie jedoch die Verschlüsselung Ihrer Nachrichten gegenüber einer Chat-App. Hier könnte die spezielle Hardware über die Sicherheit hinaus einige Vorteile bieten.
„Dinge wie kryptografische Algorithmen, das Verschlüsseln oder Entschlüsseln mit einem Algorithmus wie AES oder die Verwendung eines Public-Key-Algorithmus wie RSA oder Elliptic „Kurve: Diese Vorgänge sind in Software relativ langsam, aber ein Sicherheitskern kann über Hardwarebeschleuniger verfügen, um das viel schneller zu erledigen“, sagte Levine sagte.
„Wir streben nach Einfachheit, und wenn man etwas Einfaches behält, bleibt es klein.“ Wenn es klein ist, ist die Leistung gering.“
Dem stimmt Rob Coombs, Leiter IoT-Sicherheit bei Arm, voll und ganz zu.
„Normalerweise wird Root of Trusts einen Krypto-Beschleuniger einbauen, was etwas mehr Silizium erfordert, aber der Vorteil daran ist, dass es so ist.“ höhere Leistung für Dinge wie Kryptofunktionen, sodass Sie sich nicht nur auf den Prozessor verlassen müssen, um die regelmäßige Verschlüsselung der Datei durchzuführen“, sagt er sagte. „Der Prozessor kann es einrichten und dann kann die Krypto-Engine die Daten durchsuchen und sie verschlüsseln oder entschlüsseln. Sie erzielen eine höhere Leistung.“
Moderne Prozessoren von Intel verfügen über eigene Krypto-Beschleuniger, sodass es dort möglicherweise nicht der Fall ist Die Verschlüsselung oder Entschlüsselung wäre grundsätzlich schneller als eine Allzweck-CPU, die dieselbe Aufgabe erledigt, könnte aber sein vergleichbar.
Obwohl Coombs in seinem Chat mit uns betonte, dass die Herstellung eines Root-of-Trust-Kerns etwas mehr Silizium erfordern würde, sind die Kosten dafür höher Dies hängt größtenteils von anderen wichtigen Faktoren wie dem Herstellungspreis, der Leistungsaufnahme des Chips oder seiner Wärmeleistung ab unberührt.
Ben Levine von Rambus stimmte zu.
„Der Sicherheitskern ist im Vergleich zu allem anderen einfach winzig“, sagte er. „Es gibt wirklich keine nennenswerten Auswirkungen auf die Chip-, Strom- oder thermischen Kosten. Wenn Sie ihn sorgfältig entwerfen, können Sie in einem ziemlich kleinen Logikbereich viel erreichen. Wir streben nach Einfachheit, und wenn Sie etwas einfach halten, halten Sie es klein. Wenn es klein ist, ist die Leistung gering.“
Sein einziger Vorbehalt bestand darin, dass der sichere Kern von Rambus bei kleineren Geräten mit geringerem Stromverbrauch, wie sie im IoT verwendet werden, größere Auswirkungen auf den Stromverbrauch und die Kosten haben würde. Hier könnte der modularere Ansatz von Arm ins Spiel kommen.
Groß, klein und sicher
Arm war ein früher Pionier dieser Idee großen kleinen CPUs oder große Kerne und kleine Kerne im selben Prozessor. Heutzutage ist es auch in Mobilgeräten von Qualcomm und Apple eine häufige Funktion. Dabei werden größere CPU-Kerne je nach Bedarf für schwere Lasten eingesetzt, während kleinere Kerne die häufigeren Aufgaben übernehmen, um Strom zu sparen. Der Ansatz von Arm baut auf dieser Idee auf, eine Vertrauensbasis in Hauptchips sowie viel kleinere Mikrocontroller für den Einsatz in einer breiteren Palette von Geräten einzubauen.
„Wir haben etwas namens a definiert PSA (Plattformsicherheitsarchitektur).) Root of Trust mit einigen wesentlichen integrierten Sicherheitsfunktionen wie Kryptografie, sicherem Booten und sicherer Speicherung; Jedes IOT-Gerät wird diese benötigen“, erklärte Coobs gegenüber Digital Trends.
Von allen großen Chipherstellern war Arm wohl am wenigsten von Spectre und Meltdown betroffen. Wo Intel für die unterschiedlichsten potenziellen Angriffe anfällig war und AMD eine Reihe von Mikrocodes veröffentlichen musste und Software-Optimierungen konnte Arm seine ohnehin schon robusten Abwehrmaßnahmen verstärken, bevor es zu spekulativen Ausführungsfehlern kam enthüllt.
Jetzt konzentriert Arm seine Bemühungen auf die Sicherung des Internets der Dinge. Coombs glaubt, dass ein sicherer Kern und eine Vertrauensbasis eine der besten Möglichkeiten dafür ist, und er möchte, dass jedes IoT-Gerät ein solches System implementiert. Um dies zu erreichen, bietet Arm Open-Source-Software, Entwicklungsanleitungen und Hardwarelösungen für die Sicherheitsprobleme, mit denen heutige IoT-Entwickler konfrontiert sind.
.. Ein Großteil der Nutzung des Sicherheitskerns erfolgt auf der Betriebssystem- und Systemebene und nicht auf der Anwendungsebene
„Wir haben eine Open-Source- und Referenzimplementierung erstellt und jetzt mit der PSA-Zertifizierung haben wir eine erstellt „Mehrstufiges Sicherheitsschema, bei dem die Menschen die Sicherheitsrobustheit wählen können, die sie benötigen“, sagte Coombs. „Unterschiedliche Systeme benötigen unterschiedlich viel Sicherheit. Wir wollen das fit für den IoT-Bereich machen.“
Wenn man diese Prinzipien auf größere Allzweck-CPUs anwendet, die in Laptops und Desktops zu finden sind, würde das Endergebnis nicht wesentlich anders ausfallen. Laut Ben Levine von Rambus hätten solche Chips zwar keine kleinen Kerne neben ihren großen, könnten aber ohne allzu große Schwierigkeiten einen sicheren Kern auf dem Chip implementieren.
„Diese Kerne sollten und müssen viel kleiner sein als einer der großen CPU-Kerne, die man in einem Chip von Intel oder AMD bekommt“, sagte er. „Es wird nicht sieben plus eins sein, sondern acht oder was auch immer Kernprozessoren und ein oder vielleicht mehr als ein kleiner Sicherheitskern, der Sicherheitsfunktionen für alle anderen Kerne bereitstellt.“
Entscheidend ist auch, dass die Implementierung solcher Kerne nicht einmal kompliziert wäre.
„Wir werden nicht viel zum Chip-Design-Zyklus beitragen, um einen neuen Chip in ein Verbraucherprodukt zu integrieren“, sagte er. „Unsere Auswirkungen werden ziemlich gering sein. Es wird einfach der normale Produktlebenszyklus sein, bei dem die Entwicklung einer Chip-Architektur in die Produktion und dann in den Versand der Produkte übergeht.“
Bringen Sie es zu den Massen
Sicherheit kann ein Henne-Ei-Problem sein, da Entwickler nicht daran interessiert sind, sie ohne konkreten Bedarf oder Nachfrage der Kunden zu implementieren. Wenn Hardwarehersteller ihre vorhandenen CPU-Kerne jedoch mit einem sicheren Core-Root-of-Trust kombinieren würden, wäre die Aufgabe der Softwareentwickler relativ einfach.
„Abhängig von der Anwendung erfolgt ein Großteil der Nutzung des Sicherheitskerns auf der Betriebssystem- und Systemebene und nicht auf der Anwendungsebene“, erklärte Levine. „Wenn Sie Ihr Betriebssystem und die gesamte Systemsoftware richtig erstellen, können Sie die meisten dieser Sicherheitsfunktionen nutzen, ohne dass sich Anwendungsentwickler darum kümmern müssen. Sie können APIs bereitstellen, um einige der Sicherheitskernfunktionen verfügbar zu machen, die vom Anwendungsentwickler leicht genutzt werden könnten, etwa das Ver- und Entschlüsseln von Daten.“
Indem die Wurzel des Vertrauens in der Hardware selbst verankert wird und die Verantwortung für die Implementierung den Betriebssystemen und Softwareentwicklern überlassen wird könnte schnell von der zusätzlichen Sicherheit profitieren, die es für alle Aspekte der Datenverarbeitung bieten könnte, einschließlich der Vermeidung der Fallstricke von Spectre und seinen Sorte.
Hier könnten Unternehmen wie Intel und AMD bisher einen Fehler gemacht haben. Während ihre Patches, Mikrocode-Korrekturen und Hardware-Optimierungen dazu beigetragen haben, einige der Probleme von Spectre-ähnlichen Angriffen zu mildern, bringen sie alle ihre eigenen Fallstricke mit sich. Die Leistung ist beeinträchtigt und in vielen Fällen werden die optionalen Patches von den Geräteherstellern nicht angewendet, weil sie das Wettrüsten um die Leistungsfähigkeit nicht verlieren wollen.
Stattdessen versuchen Rambus, Arm und andere, das Problem vollständig zu umgehen.
„Wir behaupten nicht, dass wir Spectre oder Meltdown beheben, wir sagen vielmehr, dass diese Exploits nicht die einzigen Schwachstellen sind“, sagte Levine. „Es wird immer mehr geben. Die Komplexität moderner Prozessoren macht dies unvermeidlich. Lassen Sie uns das Problem ändern und akzeptieren, dass es mehr Schwachstellen in Allzweck-CPUs und dergleichen geben wird das uns sehr am Herzen liegt, wie Schlüssel, Anmeldeinformationen, Daten, lasst es uns aus der CPU entfernen und das ganze Problem umgehen.“
Auf diese Weise können Benutzer darauf vertrauen, dass ihr System sicher ist, ohne Abstriche machen zu müssen. Die Root-of-Trust-Hardware bedeutet, dass gestohlene Daten für niemanden nutzlos sind. Es lässt den Geist von Spectre im Schattenreich der Redundanz zurück, wo er diejenigen, die alte Hardware verwenden, weiterhin heimsuchen kann. Aber wenn die Menschen auf neue, mit Root of Trust ausgestattete zukünftige Hardwaregenerationen umsteigen, würde dies immer irrelevanter und weitaus weniger besorgniserregend werden.
Empfehlungen der Redaktion
- AMD könnte Intel endlich bei der schnellsten mobilen Gaming-CPU schlagen
- Intels Chips sind immer noch anfällig und der neue Ice Lake wird nicht alles patchen
