Ingat eksploitasi keamanan Spectre dan Meltdown tahun lalu? Intel dan AMD sangat berharap Anda tidak melakukannya. Terlepas dari apa yang mereka ingin Anda yakini, eksploitasi eksekusi spekulatif ini tidak akan hilang, setidaknya dengan solusi yang diusulkan sejauh ini.
Isi
- Mulai dari akarnya
- Menghindari Spectre
- Keamanan, tapi berapa biayanya?
- Besar, kecil, dan aman
- Membawanya ke massa
Daripada mencoba memperbaiki setiap varian yang muncul, perbaikan permanen memerlukan perubahan mendasar pada cara CPU dirancang. Proposisinya? Sebuah “inti aman” yang memastikan data Anda tetap aman dari penyerang, apa pun bug yang mereka coba eksploitasi.
Video yang Direkomendasikan
Ini mungkin bukan rute yang ingin diambil oleh perusahaan prosesor besar ini, tapi mungkin ini satu-satunya yang benar-benar berhasil.
Terkait
- Pertahanan AMD terhadap Spectre V2 mungkin tidak memadai
Mulai dari akarnya
Ketika prosesor generasi baru diluncurkan, pertanyaan pertama yang muncul di bibir siapa pun adalah, “seberapa cepat dia?" Lebih banyak megahertz, lebih banyak core, lebih banyak cache, semuanya untuk membuat aplikasi berjalan lebih cepat dan kinerja game lebih baik. Pertimbangan sekunder mungkin berupa kebutuhan daya atau keluaran panas, namun jarang ada orang yang bertanya tentang keamanan.
Memahami Spectre dan Meltdown
Permasalahannya adalah peningkatan kinerja dalam beberapa tahun terakhir sebagian besar didorong oleh prediksi spekulatif, yaitu CPU menebak apa yang akan Anda lakukan selanjutnya dan menyiapkan semua yang Anda bisa kebutuhan untuk itu. Ini bagus untuk performa, tapi seperti yang ditunjukkan oleh Spectre dan variannya, ini buruk untuk keamanan.
“Eksekusi spekulatif telah menjadi fitur pengoptimalan kinerja CPU sejak lama,” peneliti keamanan senior Malwarebytes, Jean-Philippe Taggart mengatakan kepada Digital Trends. Dia menjelaskan bagaimana fitur itulah yang membuat CPU Intel dan CPU lainnya rentan terhadap Spectre dan serangan serupa. “Arsitektur CPU memerlukan pemikiran ulang yang serius, baik untuk mempertahankan peningkatan kinerja ini, namun melindunginya dari serangan seperti Spectre, atau menghilangkannya sepenuhnya,” katanya.
“Sulit dalam hal keamanan jika Anda selalu bersikap reaktif, harus menunggu kerentanan keamanan dan kemudian memperbaikinya”
Salah satu solusi potensial adalah menambahkan perangkat keras baru ke CPU generasi mendatang. Daripada menangani tugas-tugas sensitif (yang melakukan serangan seperti itu bermanfaat) pada inti pemrosesan berkekuatan tinggi, bagaimana jika pembuat chip menggabungkan inti tersebut dengan inti tambahan yang dirancang khusus dengan inti tersebut? tugas dalam pikiran? Inti keamanan.
Melakukan hal ini dapat membuat Spectre dan variannya tidak menjadi masalah bagi perangkat keras baru. Tidak masalah jika inti CPU utama masa depan rentan terhadap serangan semacam itu, karena informasi pribadi atau aman tidak akan lagi ditangani oleh inti tersebut.
Konsep akar kepercayaan ini lebih dari sekedar garis besarnya saja. Dalam beberapa kasus, ini sudah menjadi produk yang layak dan yang perlu dilakukan oleh semua perusahaan chip besar seperti Intel atau AMD untuk memanfaatkannya adalah dengan mengadopsinya.
Menghindari Spectre
“Sulit dalam hal keamanan jika Anda selalu bersikap reaktif, harus menunggu kerentanan keamanan dan kemudian memperbaikinya,” Direktur senior manajemen produk Rambus, Ben Levine mengatakan kepada Digital Trends, ketika ditanya tentang varian Spectre yang sedang berlangsung ancaman. “Masalah dalam mencoba membuat prosesor yang kompleks menjadi aman adalah hal yang sulit. Di situlah kami menemukan pendekatan untuk memindahkan fungsi penting keamanan ke inti terpisah.”
Meski bukan orang pertama yang mengemukakan gagasan seperti itu, Rambus telah menyempurnakannya. Dia Akar Kepercayaan CryptoManager adalah inti terpisah yang akan ditempatkan pada cetakan CPU utama, mirip dengan konsep besar.kecil yang ditemukan di banyak prosesor seluler dan bahkan prosesor Intel sendiri. desain Lakefield baru. Jika chip tersebut menggunakan inti yang lebih kecil untuk menghemat daya, maka inti kepercayaan yang aman akan berfokus pada keamanan di atas segalanya.
Ini akan menggabungkan prosesor tanpa aspek spekulasi dari CPU utama, dengan akselerator untuk kriptografi, dan memori amannya sendiri. Ini akan menjadi desain yang relatif sederhana dibandingkan dengan CPU serba guna raksasa yang menjalankan komputer kita saat ini, namun dengan melakukan hal ini akan jauh lebih aman.
Untuk melindungi dirinya sendiri, inti aman kemudian dapat mengambil tugas paling sensitif yang biasanya ditangani oleh inti CPU tujuan umum. Mengamankan kunci enkripsi, memvalidasi transaksi perbankan, memproses upaya login, menyimpan informasi pribadi di memori aman, atau memeriksa catatan boot tidak rusak saat startup.
“… Operasi tersebut relatif lambat untuk dilakukan dalam perangkat lunak, namun inti keamanan dapat memiliki akselerator perangkat keras untuk melakukannya lebih cepat.”
Semua ini dapat membantu meningkatkan keamanan umum sistem yang menggunakannya. Lebih baik lagi, karena tidak ada peningkatan kinerja yang spekulatif, maka akan sepenuhnya aman terhadap serangan mirip Spectre, sehingga menjadikannya tidak valid. Serangan semacam itu masih dapat dilakukan terhadap inti CPU utama, namun karena serangan tersebut tidak dapat menangani data apa pun yang layak untuk dicuri, maka hal tersebut tidak menjadi masalah.
“Idenya bukanlah untuk menghasilkan satu CPU yang dapat melakukan segalanya dengan sangat cepat dan sangat aman, namun mari kita optimalkan inti yang berbeda secara terpisah untuk tujuan yang berbeda,” jelas Levine. “Mari kita optimalkan CPU utama kita untuk kinerja atau daya yang lebih rendah, apa pun yang penting bagi sistem itu, dan optimalkan inti lain untuk keamanan. Kami sekarang memiliki dua domain pemrosesan yang dioptimalkan secara terpisah dan melakukan pemrosesan di mana pun yang paling sesuai dengan mempertimbangkan karakteristik penghitungan dan sistem.”
Inti seperti itu akan beroperasi seperti chip koprosesor T2 yang diperkenalkan Apple dengan iMac-nya, dan kemudian diimplementasikan pada tahun 2018.
Keamanan, tapi berapa biayanya?
Seringkali dikatakan bahwa kompleksitas adalah musuh keamanan. Itu sebabnya desain inti aman yang diusulkan Rambus relatif sederhana. Ini bukan chip yang besar dan mengerikan dengan banyak inti dan kecepatan clock tinggi seperti CPU biasa yang ditemukan di desktop atau laptop.
Jadi, apakah itu berarti kita akan mengorbankan kinerja jika inti tersebut digunakan bersama dengan chip modern? Belum tentu.
Hal penting yang diambil dari gagasan inti yang aman, apakah itu Root of Trust CryptoManager Rambus, atau desain serupa dari perusahaan lain adalah bahwa ia hanya akan melakukan tugas-tugas yang berfokus pada privasi atau keamanan. Anda tidak memerlukannya untuk mengambil alih pemberian makan Anda kartu grafik selama sesi permainan, atau mengubah gambar di Photoshop. Anda mungkin lebih suka menangani enkripsi pesan Anda melalui aplikasi obrolan. Di sinilah perangkat keras khusus dapat memberikan beberapa manfaat selain keamanan.
“Hal-hal seperti algoritma kriptografi, mengenkripsi atau mendekripsi dari algoritma seperti AES, atau menggunakan algoritma kunci publik seperti RSA atau elips kurva, operasi tersebut relatif lambat untuk dilakukan dalam perangkat lunak, namun inti keamanan dapat memiliki akselerator perangkat keras untuk melakukannya lebih cepat,” Levine dikatakan.
“Kami mengincar kesederhanaan dan jika Anda menjaga sesuatu tetap sederhana, Anda akan menjaganya tetap kecil. Kalau kecil berarti dayanya rendah.”
Hal ini disetujui oleh kepala keamanan IoT Arm, Rob Coombs.
“Biasanya akar kepercayaan akan dibangun dalam akselerator kripto, sehingga memerlukan lebih banyak silikon, namun keuntungannya adalah kinerja yang lebih tinggi untuk hal-hal seperti fungsi kripto, jadi Anda tidak hanya mengandalkan prosesor untuk melakukan enkripsi file secara teratur,” dia dikatakan. “Prosesor dapat mengaturnya dan kemudian mesin kripto dapat mencerna data dan mengenkripsi atau mendekripsinya. Anda mendapatkan kinerja yang lebih tinggi.”
Prosesor modern seperti Intel memang memiliki akselerator kripto sendiri, jadi mungkin tidak demikian halnya dengan prosesor modern. enkripsi atau dekripsi pada dasarnya akan lebih cepat daripada CPU tujuan umum yang menyelesaikan tugas yang sama, tetapi hal itu bisa saja terjadi sebanding.
Meskipun Coombs menyoroti dalam obrolannya dengan kami bahwa inti akar kepercayaan akan memerlukan sedikit silikon tambahan untuk diproduksi, biaya produksinya akan sangat besar. melakukan hal ini pada faktor-faktor penting lainnya seperti harga produksi, konsumsi daya chip, atau output termalnya, akan sangat berpengaruh pada hal ini. tidak terpengaruh.
Ben Levine dari Rambus setuju.
“Inti keamanannya sangat kecil jika dibandingkan dengan yang lainnya,” katanya. “Sebenarnya tidak ada dampak signifikan terhadap biaya chip, daya, atau kebutuhan termal. Anda dapat melakukan banyak hal dalam area logika yang cukup kecil jika Anda mendesainnya dengan hati-hati. Kami mengincar kesederhanaan dan jika Anda menjaga sesuatu tetap sederhana, Anda akan menjaganya tetap kecil. Kalau kecil berarti dayanya rendah.”
Satu-satunya peringatannya adalah bahwa pada perangkat yang lebih kecil dan berdaya rendah seperti yang digunakan dalam IoT, inti aman Rambus akan berdampak lebih besar pada daya dan biaya. Di sinilah pendekatan Arm yang lebih modular bisa diterapkan.
Besar, kecil, dan aman
Arm adalah pionir awal gagasan tersebut besar.kecil CPU, atau inti besar dan inti kecil dalam prosesor yang sama. Saat ini, ini juga merupakan fitur umum di perangkat seluler dari Qualcomm dan Apple. Ini melihat inti CPU yang lebih besar digunakan untuk pekerjaan berat jika diperlukan, sementara inti yang lebih kecil menangani tugas-tugas yang lebih umum sehingga menghemat daya. Pendekatan Arm didasarkan pada gagasan tersebut untuk membangun akar kepercayaan pada chip utama, serta mikrokontroler yang jauh lebih kecil untuk digunakan pada perangkat yang lebih luas.
“Kami telah mendefinisikan sesuatu yang disebut a PSA (arsitektur keamanan platform) akar kepercayaan dengan beberapa fungsi keamanan penting yang terpasang seperti kriptografi, boot aman, penyimpanan aman; Setiap perangkat IOT membutuhkan ini,” jelas Coobs kepada Digital Trends.
Dari semua pembuat chip besar, Arm bisa dibilang yang paling sedikit terkena dampak Spectre dan Meltdown. Dimana Intel rentan terhadap potensi serangan terluas dan AMD harus merilis sejumlah mikrokode dan penyesuaian perangkat lunak, Arm mampu memperkuat pertahanannya yang sudah kuat sebelum bug eksekusi spekulatif terjadi terungkap.
Kini Arm memfokuskan upayanya untuk mengamankan internet of things. Coombs percaya bahwa inti yang aman, akar kepercayaan adalah salah satu cara terbaik untuk melakukan hal tersebut dan dia ingin melihat setiap perangkat IoT menerapkan sistem seperti itu. Untuk membantu mencapainya, Arm menawarkan perangkat lunak sumber terbuka, panduan pengembangan, dan solusi perangkat keras untuk masalah keamanan yang dihadapi oleh pengembang IoT saat ini.
.. Banyak penggunaan inti keamanan akan dilakukan pada tingkat OS dan sistem dan bukan pada tingkat aplikasi
“Kami telah membuat implementasi open source dan referensi dan sekarang dengan sertifikasi PSA kami telah membuat skema keamanan multi-level [di mana] orang dapat memilih kekuatan keamanan yang mereka butuhkan,” kata Coombs. “Sistem yang berbeda memerlukan tingkat keamanan yang berbeda. Kami ingin menjadikannya sesuai untuk ruang IoT.”
Dengan menerapkan prinsip-prinsip ini pada CPU yang lebih besar dan serbaguna yang terdapat di laptop dan desktop, hasil akhirnya tidak akan jauh berbeda. Meskipun chip tersebut tidak memiliki inti yang kecil dibandingkan dengan inti yang besar, mereka dapat menerapkan inti yang aman pada cetakan tanpa terlalu banyak kesulitan, menurut Ben Levine dari Rambus.
“Inti-inti ini harus dan harus jauh lebih kecil daripada salah satu inti CPU besar utama yang Anda dapatkan dalam sebuah chip dari Intel atau AMD,” katanya. “Ini tidak akan menjadi tujuh ditambah satu, itu akan menjadi delapan atau apa pun prosesor inti dan satu atau mungkin lebih dari satu, inti keamanan kecil yang menyediakan fungsi keamanan untuk semua inti lainnya.”
Yang terpenting adalah penerapan inti semacam itu tidak akan rumit.
“Kami tidak akan menambah banyak siklus desain chip untuk memasukkan chip baru ke dalam produk konsumen,” katanya. “Dampak kami akan sangat minimal. Ini hanya akan menjadi siklus hidup produk yang normal, yaitu memasukkan pengembangan arsitektur chip ke dalam produksi, kemudian ke pengiriman produk.”
Membawanya ke massa
Keamanan bisa menjadi masalah besar, dan pengembang tidak tertarik untuk mengimplementasikannya tanpa kebutuhan atau permintaan khusus dari pelanggan. Namun jika produsen perangkat keras menggabungkan inti CPU mereka yang ada dengan akar kepercayaan yang aman, tugas pengembang perangkat lunak akan menjadi relatif mudah.
“Bergantung pada aplikasinya, sebagian besar penggunaan inti keamanan akan dilakukan di tingkat OS dan sistem, bukan di tingkat aplikasi,” jelas Levine. “Jika Anda membangun OS dan perangkat lunak sistem secara keseluruhan dengan benar, maka Anda dapat memanfaatkan sebagian besar fungsi keamanan tersebut tanpa perlu dikhawatirkan oleh pengembang aplikasi. Anda dapat menyediakan API untuk mengekspos beberapa fungsi inti keamanan yang dapat dengan mudah digunakan oleh pengembang aplikasi seperti mengenkripsi dan mendekripsi data.”
Dengan memasukkan akar kepercayaan pada perangkat keras itu sendiri, dan menyerahkan tanggung jawab penerapannya kepada sistem operasi, pengembang perangkat lunak dapat dengan cepat mendapatkan manfaat dari keamanan tambahan yang dapat diterapkan pada semua aspek komputasi, termasuk menghindari jebakan Spectre dan produknya. jenis.
Ini mungkin merupakan kesalahan yang dilakukan perusahaan seperti Intel dan AMD sejauh ini. Meskipun patch, perbaikan mikrokode, dan penyesuaian perangkat keras telah membantu mengurangi beberapa masalah serangan mirip Spectre, semuanya memiliki kelemahannya masing-masing. Kinerja telah menurun dan dalam banyak kasus, patch opsional tidak diterapkan oleh produsen perangkat karena mereka tidak ingin kalah dalam perlombaan senjata.
Sebaliknya, Rambus, Arm, dan lainnya, berupaya menghindari masalah ini sepenuhnya.
“Kami tidak mengklaim bahwa kami sedang memperbaiki Spectre atau Meltdown, yang kami katakan adalah eksploitasi ini bukanlah satu-satunya kerentanan yang ada,” kata Levine. “Akan selalu ada lebih banyak lagi. Kompleksitas prosesor modern membuat hal ini tidak bisa dihindari. Mari kita ubah masalahnya dan terima bahwa akan ada lebih banyak kerentanan pada CPU tujuan umum dan sejenisnya. yang sangat kita pedulikan, seperti kunci, kredensial, data, mari kita keluarkan dari CPU dan lewati seluruh masalah.”
Dengan cara ini, pengguna dapat percaya bahwa sistem mereka aman tanpa harus mengorbankan apa pun. Akar kepercayaan perangkat keras berarti bahwa data apa pun yang dicuri tidak berguna bagi siapa pun. Hal ini meninggalkan hantu Spectre dalam dunia bayangan redundansi, dimana ia dapat terus menghantui mereka yang menggunakan perangkat keras lama. Namun seiring dengan semakin banyaknya orang yang melakukan upgrade ke perangkat keras generasi mendatang yang baru dan terpercaya, maka hal tersebut akan menjadi semakin tidak relevan dan tidak terlalu menjadi perhatian.
Rekomendasi Editor
- AMD akhirnya mungkin mengalahkan Intel untuk CPU gaming seluler tercepat
- Chip Intel masih rentan, dan Ice Lake yang baru tidak akan memperbaiki semuanya
