¿Recuerdas los exploits de seguridad de Spectre y Meltdown del año pasado? Intel y AMD realmente esperan que no lo hagas. A pesar de lo que quieren hacernos creer, estos exploits de ejecución especulativa no van a desaparecer, al menos no con las soluciones propuestas hasta ahora.
Contenido
- Empezando desde la raíz
- Eludir el espectro
- Seguridad, pero ¿a qué precio?
- Grande, pequeño y seguro
- Llevándolo a las masas
En lugar de intentar arreglar cada variante que aparece, una solución permanente requerirá un cambio fundamental en la forma en que se diseñan las CPU. ¿La proposicion? Un "núcleo seguro" que garantiza que sus datos estén a salvo de los atacantes, sin importar qué errores intenten explotar.
Vídeos recomendados
Puede que no sea el camino que estas grandes empresas de procesadores quieran tomar, pero podría ser el único que realmente funcione.
Relacionado
- Las defensas de AMD contra Spectre V2 pueden ser inadecuadas
Empezando desde la raíz
Cuando se lanza una nueva generación de procesadores, la primera pregunta que surge en boca de cualquiera es: “¿qué tan rápido es?” ¿él?" Más megahercios, más núcleos, más caché, todo para que las aplicaciones se ejecuten más rápido y los juegos funcionen mejor mejor. Las consideraciones secundarias pueden ser los requisitos de energía o la producción de calor, pero rara vez alguien pregunta sobre la seguridad.
Entendiendo el espectro y la fusión
El problema con esto es que las mejoras en el desempeño de los últimos años han sido impulsadas principalmente por predicción especulativa, es decir, las CPU adivinan lo que vas a hacer a continuación y preparan todo lo que puedas necesidad de ello. Eso es excelente para el rendimiento, pero como han demostrado Spectre y sus variantes, es terrible para la seguridad.
“Ejecución especulativa "Ha sido una característica de optimización del rendimiento de las CPU desde hace mucho tiempo", dijo Jean-Philippe Taggart, investigador senior de seguridad de Malwarebytes, a Digital Trends. Explicó cómo es esa característica la que hace que las CPU de Intel y de otros sean vulnerables a Spectre y ataques similares. "La arquitectura de la CPU necesitará un replanteamiento serio, ya sea para conservar estas mejoras de rendimiento, pero protegerlas de ataques como Spectre, o eliminarlas por completo", dijo.
"Es difícil en seguridad si siempre estás siendo reactivo, teniendo que esperar a que aparezcan vulnerabilidades de seguridad y luego solucionarlas"
Una posible solución es agregar una nueva pieza de hardware a las próximas generaciones de CPU. En lugar de manejar tareas sensibles (que hacen que tales ataques vale la pena) en núcleos de procesamiento de alta potencia, ¿qué pasaría si los fabricantes de chips combinaran esos núcleos con un núcleo adicional diseñado específicamente con tales núcleos? tareas en mente? Un núcleo de seguridad.
Hacerlo podría hacer que Spectre y sus variantes no sean un problema para el nuevo hardware. No importaría si los principales núcleos de CPU del mañana fueran vulnerables a tales ataques, porque esos núcleos ya no manejarían información privada o segura.
Este concepto de raíz de la confianza es más que un simple esbozo. En algunos casos, ya es un producto viable y todo lo que las principales empresas de chips como Intel o AMD tendrían que hacer para aprovecharlo es adoptarlo.
Eludir el espectro
"Es difícil en seguridad si siempre estás siendo reactivo, teniendo que esperar a que aparezcan vulnerabilidades de seguridad y luego solucionarlas". El director senior de gestión de productos de Rambus, Ben Levine, dijo a Digital Trends, cuando se le preguntó sobre la variante Spectre en curso. amenazas. “Ese problema de intentar hacer seguro un procesador complejo es realmente el camino más difícil. Ahí es donde se nos ocurrió la idea de trasladar la funcionalidad crítica de seguridad a un núcleo separado”.
Aunque no es el primero en sugerir tal idea, Rambus la ha perfeccionado. Es Raíz de confianza de CryptoManager es un núcleo separado que se ubicaría en una CPU principal, un poco como el concepto big.little que se encuentra en muchos procesadores móviles e incluso en el propio Intel. nuevo diseño de Lakefield. Sin embargo, cuando esos chips utilizan núcleos más pequeños para ahorrar energía, una raíz de confianza central segura se centraría en la seguridad por encima de todo.
Combinaría un procesador sin los aspectos especulativos de las principales CPU, con aceleradores para criptografía y su propia memoria segura. Sería un diseño relativamente simple en comparación con las monstruosas CPU de uso general que ejecutan nuestras computadoras hoy en día, pero al hacerlo sería mucho más seguro.
Al protegerse a sí mismo, el núcleo seguro podría asumir las tareas más sensibles que normalmente manejaría un núcleo de CPU de uso general. La protección de claves de cifrado, la validación de transacciones bancarias, el procesamiento de intentos de inicio de sesión, el almacenamiento de información privada en una memoria segura o la verificación de registros de arranque no se han dañado durante el inicio.
"... Esas operaciones son relativamente lentas de realizar en software, pero un núcleo de seguridad puede tener aceleradores de hardware para hacerlo mucho más rápido".
Todo esto podría ayudar a mejorar la seguridad general de un sistema que lo utilizara. Mejor aún, dado que carecería de mejoras especulativas de rendimiento, sería completamente seguro contra ataques tipo Spectre, invalidándolos. Dichos ataques aún podrían realizarse contra los principales núcleos de la CPU, pero como no manejarían ningún dato que valga la pena robar, no importaría.
"La idea no es crear una CPU que pueda hacer todo para ser muy rápida y muy segura, sino optimizar diferentes núcleos por separado para diferentes objetivos", explicó Levine. “Optimicemos nuestra CPU principal para rendimiento o menor consumo, lo que sea importante para ese sistema, y optimicemos otro núcleo por seguridad. Ahora tenemos estos dos dominios de procesamiento optimizados por separado y realizamos el procesamiento en el que sea más apropiado dadas las características del cálculo y el sistema en mente”.
Un núcleo de este tipo funcionaría un poco como el chip coprocesador T2 que Apple presentó con su iMac y luego implementó en su 2018.
Seguridad, pero ¿a qué precio?
A menudo se dice que la complejidad es enemiga de la seguridad. Es por eso que el diseño de núcleo seguro que propone Rambus es relativamente simple. No es un chip grande y monstruoso con múltiples núcleos y una alta velocidad de reloj como las CPU típicas que se encuentran en las computadoras de escritorio o portátiles.
Entonces, ¿eso significa que estaríamos sacrificando rendimiento si dicho núcleo se utilizara junto con un chip moderno? No necesariamente.
Lo importante que se desprende de la idea de un núcleo seguro, ya sea la raíz de confianza CryptoManager de Rambus o un diseño similar de otra firma, es que solo realizaría tareas que estuvieran enfocadas en la privacidad o seguridad. No lo necesitarías para alimentar a tu tarjeta grafica durante una sesión de juego o modificando imágenes en Photoshop. Sin embargo, es posible que prefieras que se encargue del cifrado de tus mensajes en lugar de una aplicación de chat. Ahí es donde el hardware especializado podría ofrecer algunos beneficios más allá de la seguridad.
“Cosas como algoritmos criptográficos, cifrar o descifrar desde un algoritmo como AES, o usar un algoritmo de clave pública como RSA o elíptico curva, esas operaciones son relativamente lentas de realizar en software, pero un núcleo de seguridad puede tener aceleradores de hardware para hacerlo mucho más rápido”, Levine dicho.
“Buscamos la simplicidad y si mantienes algo simple, lo mantienes pequeño. Si es pequeño, tiene poca potencia”.
Eso es algo con lo que Rob Coombs, jefe de seguridad de IoT de Arm, está muy de acuerdo.
“Por lo general, la raíz de los fideicomisos se construye en un acelerador criptográfico, por lo que se necesita un poco más de silicio, pero la ventaja es que es mayor rendimiento para cosas como funciones criptográficas, por lo que no depende sólo del procesador para realizar el cifrado regular del archivo”, afirmó. dicho. “El procesador puede configurarlo y luego el motor criptográfico puede analizar los datos y cifrarlos o descifrarlos. Obtienes un mayor rendimiento”.
Los procesadores modernos como Intel tienen sus propios criptoaceleradores, por lo que puede que no sea el caso que el El cifrado o descifrado sería fundamentalmente más rápido que una CPU de uso general completando la misma tarea, pero podría ser comparable.
Aunque Coombs destacó en su charla con nosotros que una raíz de núcleo de confianza requeriría un poco de silicio adicional para producirse, el costo de hacerlo en base a otros factores importantes como el precio de fabricación, el consumo de energía del chip o su producción térmica, sería principalmente inafectado.
Ben Levine de Rambus estuvo de acuerdo.
"El núcleo de seguridad es diminuto en comparación con todo lo demás", afirmó. “Realmente no hay un impacto significativo en el costo del chip, la energía o los requisitos térmicos. Puedes hacer mucho en un área lógica bastante pequeña si la diseñas cuidadosamente. Buscamos la simplicidad y si mantienes algo simple, mantenlo pequeño. Si es pequeño, tiene poca potencia”.
Su única advertencia fue que en dispositivos más pequeños y de menor potencia, como los utilizados en IoT, el núcleo seguro de Rambus tendría un mayor impacto en la energía y el costo. Ahí es donde podría entrar en juego el enfoque más modular de Arm.
Grande, pequeño y seguro
Arm fue uno de los primeros pioneros de la idea de grande pequeño CPU, o núcleos grandes y núcleos pequeños en un mismo procesador. Hoy en día también es una característica común en los dispositivos móviles de Qualcomm y Apple. Considera que los núcleos de CPU más grandes se utilizan para trabajos pesados cuando sea necesario, mientras que los núcleos más pequeños se encargan de las tareas más comunes para ahorrar energía. El enfoque de Arm se basa en esa idea de generar una base de confianza en los chips principales, así como en microcontroladores mucho más pequeños para usar en una gama más amplia de dispositivos.
“Hemos definido algo llamado PSA (arquitectura de seguridad de plataforma)) raíz de confianza con algunas funciones de seguridad esenciales integradas como criptografía, arranque seguro y almacenamiento seguro; Todos los dispositivos IoT los necesitarán”, explicó Coobs a Digital Trends.
De todos los principales fabricantes de chips, podría decirse que Arm fue el menos afectado por Spectre y Meltdown. Donde Intel era vulnerable a la más amplia gama de ataques potenciales y AMD tuvo que lanzar una serie de microcódigos y ajustes de software, Arm pudo reforzar sus ya sólidas defensas antes de que aparecieran errores de ejecución especulativos. reveló.
Ahora Arm está centrando sus esfuerzos en proteger el Internet de las cosas. Coombs cree que un núcleo seguro y una raíz de confianza es una de las mejores formas de hacerlo y quiere que todos los dispositivos de IoT implementen dicho sistema. Para ayudar a lograrlo, Arm ofrece software de código abierto, orientación de desarrollo y soluciones de hardware para los problemas de seguridad que enfrentan los desarrolladores de IoT de hoy.
.. Gran parte del uso del núcleo de seguridad se realizará a nivel del sistema operativo y del sistema y no a nivel de aplicación.
“Hemos creado una implementación de código abierto y de referencia y ahora con la certificación PSA hemos creado una esquema de seguridad multinivel [donde] las personas pueden elegir la solidez de seguridad que necesitan”, dijo Coombs. “Diferentes sistemas necesitan diferentes niveles de seguridad. Queremos adaptarlo al espacio de IoT”.
Al aplicar estos principios a CPU más grandes y de uso general que se encuentran en computadoras portátiles y de escritorio, el resultado final no sería drásticamente diferente. Si bien estos chips no tendrían núcleos pequeños junto a los grandes, podrían implementar un núcleo seguro en el chip sin demasiada dificultad, según Ben Levine de Rambus.
"Estos núcleos deberían ser y deben ser mucho más pequeños que uno de los principales núcleos de CPU grandes que se encuentran en un chip de Intel o AMD", dijo. "No serán siete más uno, serán ocho o cualquier procesador central y uno o quizás más de un pequeño núcleo de seguridad que proporcione funciones de seguridad para todos los demás núcleos".
Lo más importante es que tales núcleos ni siquiera serían complicados de implementar.
"No vamos a agregar mucho al ciclo de diseño de chips para incorporar un nuevo chip a un producto de consumo", dijo. “Nuestro impacto será bastante mínimo. Simplemente será el ciclo de vida normal del producto: llevar el desarrollo de una arquitectura de chip a la producción y luego al envío de los productos”.
Llevándolo a las masas
La seguridad puede ser una cuestión de huevo y gallina, y los desarrolladores no están interesados en implementarla sin una necesidad o demanda específica de los clientes. Pero si los fabricantes de hardware combinaran sus núcleos de CPU existentes con un núcleo de confianza seguro, el trabajo de los desarrolladores de software sería relativamente fácil.
"Dependiendo de la aplicación, gran parte del uso del núcleo de seguridad se realizará a nivel del sistema operativo y del sistema y no a nivel de la aplicación", explicó Levine. “Si está creando correctamente su sistema operativo y el software general del sistema, podrá utilizar la mayor parte de esa funcionalidad de seguridad sin que los desarrolladores de aplicaciones tengan que preocuparse por ello. Puede proporcionar API para exponer algunas de las funciones principales de seguridad que el desarrollador de aplicaciones podría utilizar fácilmente, como cifrar y descifrar datos”.
Al incorporar la raíz de la confianza en el propio hardware y dejar la responsabilidad de implementarlo en los sistemas operativos, los desarrolladores de software podría beneficiarse rápidamente de la seguridad adicional que podría aportar a todas las facetas de la informática, incluido evitar los peligros de Spectre y sus calaña.
Esto podría ser lo que a empresas como Intel y AMD les ha ido mal hasta ahora. Si bien sus parches, correcciones de microcódigo y ajustes de hardware han ayudado a mitigar algunos de los problemas de los ataques tipo Spectre, todos ellos tienen sus propios inconvenientes. El rendimiento se ha degradado y, en muchos casos, los fabricantes de dispositivos no aplican los parches opcionales porque no quieren perder la carrera armamentista.
En cambio, Rambus, Arm y otros buscan evadir el problema por completo.
"No afirmamos que estemos arreglando Spectre o Meltdown, lo que decimos es, en primer lugar, que estos exploits no son las únicas vulnerabilidades que existen", dijo Levine. “Siempre habrá más. La complejidad de los procesadores modernos hace que esto sea inevitable. Cambiemos el problema y aceptemos que habrá más vulnerabilidades en las CPU de uso general y esas cosas. que nos importan mucho, como claves, credenciales, datos, saquémoslos de la CPU y evitemos todo el problema”.
De esta manera, los usuarios pueden confiar en que su sistema es seguro sin tener que sacrificar nada. La raíz del hardware de confianza significa que cualquier dato robado es inútil para cualquiera. Deja al fantasma de Spectre en el sombrío reino de la redundancia, donde puede seguir atormentando a quienes utilizan hardware antiguo. Pero a medida que la gente actualice a futuras generaciones de hardware nuevas y basadas en la confianza, esto se volverá cada vez más irrelevante y mucho menos preocupante.
Recomendaciones de los editores
- AMD finalmente podría vencer a Intel por la CPU para juegos móviles más rápida
- Los chips de Intel siguen siendo vulnerables y el nuevo Ice Lake no parcheará todo
