הליבה המאובטחת: כיצד שורש האמון יכול להפוך את הספקטר וההתמוטטות למיושנת

זוכרים את מעללי האבטחה של Spectre ו-Meltdown מהשנה שעברה? אינטל ו-AMD באמת מקווים שלא. למרות מה שהם רוצים שתאמין, מעללי הביצוע הספקולטיביים האלה לא נעלמים, לפחות לא עם הפתרונות שהוצעו עד כה.

במקום לנסות לתקן כל גרסה שמגיעה, תיקון קבוע ידרוש שינוי מהותי באופן שבו המעבדים מתוכננים. ההצעה? "ליבה מאובטחת" שמוודאת שהנתונים שלך יישארו בטוחים מפני תוקפים, לא משנה אילו באגים הם עשויים לנסות לנצל.

אולי זה לא המסלול שחברות המעבדים הגדולות האלה רוצות לקחת, אבל זה יכול להיות היחיד שבאמת עובד.

מתחילים מהשורש

כאשר מושק דור חדש של מעבדים, השאלה הראשונה על השפתיים של מישהו היא, "כמה מהיר זה זה?" יותר מגה-הרץ, יותר ליבות, יותר מטמון, הכל כדי לגרום לאפליקציות לרוץ מהר יותר ולמשחקים לבצע טוב יותר. שיקולים משניים עשויים להיות דרישות הספק או תפוקת חום, אך לעתים רחוקות מישהו שואל על אבטחה.

הבעיה עם זה היא ששיפורי הביצועים של השנים האחרונות נבעו בעיקר על ידי חיזוי ספקולטיבי, כלומר מעבדים מנחשים מה אתה הולך לעשות הלאה ומכינים כל מה שאתה יכול צורך בזה. זה נהדר לביצועים, אבל כפי שספקטר והגרסאות שלו הראו, זה נורא לאבטחה.

“הוצאה להורג ספקולטיבית היא תכונת אופטימיזציית ביצועים של מעבדים כבר זמן רב", אמר מחקר האבטחה הבכיר של Malwarebytes, ז'אן-פיליפ טגארט, ל-Digital Trends. הוא הסביר איך בדיוק אותה תכונה הופכת את המעבדים של אינטל ושל אחרים לפגיעים ל-Spectre והתקפות דומות. "ארכיטקטורת ה-CPU תזדקק לחשיבה מחודשת, כדי לשמור על שיפורי הביצועים הללו, אבל להגן עליהם מפני התקפות כגון Spectre, או לבטל אותם לחלוטין", אמר.

פתרון פוטנציאלי אחד הוא הוספת פיסת חומרה חדשה לדורות הבאים של מעבדים. במקום לטפל במשימות רגישות (שמבצעות התקפות כאלה כדאי) על ליבות עיבוד בכוח סוס גבוה, מה אם יצרני השבבים שילבו את הליבות הללו עם ליבה נוספת שתוכננה במיוחד עם משימות בראש? ליבת אבטחה.

פעולה זו עלולה להפוך את ספקטר והגרסאות שלו ללא בעיה עבור חומרה חדשה. זה לא משנה אם ליבות המעבד הראשיות של המחר יהיו חשופות להתקפות כאלה, מכיוון שמידע פרטי או מאובטח לא יטופל על ידי הליבות הללו יותר.

מושג שורש האמון הזה הוא יותר מסתם מתווה גס. במקרים מסוימים, זה כבר מוצר בר-קיימא וכל חברות השבבים הגדולות כמו אינטל או AMD יצטרכו לעשות כדי לנצל אותו, זה לאמץ אותו.

עקף ספקטר

"זה קשה באבטחה אם אתה תמיד מגיב, צריך לחכות לפרצות אבטחה ואז לתקן אותן," המנהל הבכיר של ניהול המוצר של רמבוס, בן לוין אמר ל-Digital Trends, כשנשאל על גרסה מתמשכת של Spectre איומים. "הבעיה הזו של לנסות להפוך מעבד מורכב לאבטח היא באמת הדרך הקשה. זה המקום שבו הגענו לגישה של העברת פונקציונליות קריטית לאבטחה לליבה נפרדת."

למרות שלא הראשון שהציע רעיון כזה, רמבוס חידד אותו. שֶׁלָה CryptoManager שורש האמון היא ליבה נפרדת שתשב על קוביית מעבד מרכזית, קצת כמו המושג big.little שנמצא במעבדים ניידים רבים ואפילו זה של אינטל. עיצוב חדש של לייקפילד. כאשר שבבים אלה משתמשים בליבות קטנות יותר לחיסכון בחשמל, שורש ליבה מאובטח של אמון יתמקד באבטחה מעל הכל.

הוא ישלב מעבד ללא היבטי ספקולציה של מעבדים מרכזיים, עם מאיצים לקריפטוגרפיה וזיכרון מאובטח משלו. זה יהיה עיצוב פשוט יחסית בהשוואה למעבדים המפלצתיים לשימוש כללי המריצים את המחשבים שלנו היום, אבל בכך יהיה הרבה יותר בטוח.

בהגנה על עצמה, הליבה המאובטחת תוכל לקחת על עצמה את המשימות הרגישות ביותר שליבת מעבד למטרות כלליות אחרת תתמודד בדרך כלל. אבטחת מפתחות הצפנה, אימות עסקאות בנקאיות, עיבוד ניסיונות כניסה, אחסון מידע פרטי בזיכרון מאובטח או בדיקת רשומות האתחול לא נפגמו במהלך האתחול.

כל זה יכול לעזור לשפר את האבטחה הכללית של מערכת שהשתמשה בו. יתר על כן, מכיוון שלא יהיו בו שיפורי ביצועים ספקולטיביים, הוא יהיה מאובטח לחלוטין מפני התקפות דמויות Spectre, ויבטל אותם. התקפות כאלה עדיין יכולות להיות מוטלות על ליבות ה-CPU הראשיות, אבל מכיוון שהן לא יטפלו בשום מידע שכדאי לגנוב, זה לא היה משנה.

"הרעיון הוא לא להמציא מעבד אחד שיכול לעשות הכל כדי להיות מהיר מאוד ולהיות מאובטח מאוד, אלא בואו נעשה אופטימיזציה של ליבות שונות בנפרד למטרות שונות", הסביר לוין. "בואו נעשה אופטימיזציה של המעבד הראשי שלנו לביצועים או צריכת חשמל נמוכה יותר, מה שחשוב עבור אותה מערכת, ונבצע אופטימיזציה של ליבה נוספת לאבטחה. כעת יש לנו שני תחומי עיבוד אופטימליים בנפרד, ומבצעים עיבוד בכל אחד מהם המתאים ביותר בהתחשב באופי החישוב והמערכת".

ליבה כזו תפעל קצת כמו שבב המעבד T2 שהציגה אפל עם ה-iMac שלה, ומאוחר יותר יושמה ב-2018

אבטחה, אבל באיזה מחיר?

לעתים קרובות אומרים שמורכבות היא אויב הביטחון. זו הסיבה שעיצוב הליבה המאובטח שמציעה Rambus הוא פשוט יחסית. זה לא שבב גדול ומפלצתי עם ליבות מרובות ומהירות שעון גבוהה כמו מעבדים טיפוסיים שנמצאים במחשבים שולחניים או מחשבים ניידים.

אז, האם זה אומר שהיינו מקריבים ביצועים אם ליבה כזו הייתה משמשת לצד שבב מודרני? לא בהכרח.

הלקח החשוב הביתה מהרעיון של ליבה מאובטחת, בין אם זה היה שורש האמון של CryptoManager של Rambus, או עיצוב דומה של חברה אחרת, הוא שהיא תבצע רק משימות שהתמקדו בפרטיות או בִּטָחוֹן. לא תזדקק לזה כדי להשתלט על ההאכלה שלך כרטיס מסך במהלך סשן משחקים, או התאמה של תמונות בפוטושופ. עם זאת, ייתכן שתעדיף שזה יטפל בהצפנת ההודעות שלך על פני אפליקציית צ'אט. זה המקום שבו החומרה המיוחדת יכולה להכיל כמה יתרונות מעבר לאבטחה.

"דברים כמו אלגוריתמים הצפנה, הצפנה או פענוח מאלגוריתם כמו AES, או שימוש באלגוריתם מפתח ציבורי כמו RSA או אליפטי עקומה, הפעולות האלה איטיות יחסית לביצוע בתוכנה, אבל בליבת אבטחה יכולים להיות מאיצי חומרה לעשות את זה הרבה יותר מהר", לוין אמר.

זה משהו שראש אבטחת ה-IoT של Arm, רוב קומבס מאוד מסכים איתו.

"בדרך כלל שורש הנאמנויות נבנה במאיץ קריפטו, כך שצריך קצת יותר סיליקון, אבל החיסרון בכך הוא שזה ביצועים גבוהים יותר עבור דברים כמו פונקציות קריפטו, כך שאתה לא מסתמך רק על המעבד שיבצע הצפנה קבועה של הקובץ", הוא אמר. "המעבד יכול להגדיר את זה ואז מנוע ההצפנה יכול לנשנש את הנתונים ולהצפין או לפענח אותם. אתה מקבל ביצועים גבוהים יותר".

למעבדים מודרניים כמו אינטל יש מאיצי קריפטו משלהם, כך ששם לא ייתכן שהמקרה הצפנה או פענוח יהיו מהירים יותר ביסודו ממעבד לשימוש כללי שמסיים את אותה משימה, אבל זה יכול להיות בר השוואה.

למרות שקומבס הדגיש בצ'אט שלו איתנו ששורש של אמון ידרוש מעט סיליקון נוסף כדי לייצר, העלות של לעשות זאת על גורמים חשובים אחרים כמו מחיר הייצור, צריכת החשמל של השבב או התפוקות התרמיות שלו, יהיה בעיקר לֹא מְעוּשֶׂה.

בן לוין של רמבוס הסכים.

"ליבת האבטחה היא פשוט זעירה בהשוואה לכל דבר אחר", אמר. "אין באמת השפעה משמעותית על עלות השבב, הכוח או הדרישות התרמיות. אתה יכול לעשות הרבה בתחום הגיוני די קטן אם תעצב אותו בקפידה. אנחנו מצלמים בשביל הפשטות ואם אתה שומר על משהו פשוט אתה שומר אותו קטן. אם הוא קטן, זה כוח נמוך."

האזהרה היחידה שלו הייתה שבהתקנים קטנים יותר עם הספק נמוך יותר כמו אלה המשמשים ב-IoT, לליבה המאובטחת של Rambus תהיה השפעה גדולה יותר על הספק ועלות. זה המקום שבו הגישה המודולרית יותר של Arm יכולה להיכנס לתמונה.

גדול, קטן ובטוח

זרוע היה חלוץ מוקדם של הרעיון של גדול קטן מעבדים, או ליבות גדולות וליבות קטנות באותו מעבד. כיום זה מאפיין נפוץ גם במכשירים ניידים של קוואלקום ואפל. הוא רואה ליבות מעבד גדולות יותר המשמשות להרמה כבדה לפי הצורך, בעוד לליבות קטנות יותר מטפלות במשימות הנפוצות יותר כדי לחסוך בחשמל. הגישה של Arm מתבססת על הרעיון הזה לבנות שורש אמון לתוך שבבים ראשיים, כמו גם מיקרו-בקרים קטנים בהרבה לשימוש במגוון רחב יותר של מכשירים.

"הגדרנו משהו שנקרא א PSA (ארכיטקטורת אבטחת פלטפורמה) שורש אמון עם כמה פונקציות אבטחה חיוניות מובנות כמו הצפנה, אתחול מאובטח, אחסון מאובטח; כל מכשיר IOT יצטרך את אלה", הסביר Coobs ל-Digital Trends.

מבין כל יצרניות השבבים הגדולות, Arm היה ללא ספק הפחות מושפע מ-Spectre ומלטדאון. איפה אינטל הייתה פגיעה למגוון הרחב ביותר של התקפות פוטנציאליות ו-AMD נאלצה לשחרר מספר מיקרוקודים ותיקוני תוכנה, ארם הצליחה לחזק את ההגנות החזקות כבר לפני שבאגי ביצוע ספקולטיביים היו גילה.

כעת ארם ממקדת את מאמציה באבטחת האינטרנט של הדברים. קומבס מאמין שליבה מאובטחת, שורש אמון היא אחת הדרכים הטובות ביותר לעשות זאת, והוא רוצה לראות כל מכשיר IoT מיישם מערכת כזו. כדי לעזור להשיג זאת, Arm מציעה תוכנת קוד פתוח, הנחיה התפתחותית ופתרונות חומרה לבעיות האבטחה העומדות בפני מפתחי ה-IoT של ימינו.

"יצרנו יישום קוד פתוח והפניה ועכשיו עם אישור PSA יצרנו א ערכת אבטחה מרובת רמות [בה] אנשים יכולים לבחור את חוסן האבטחה שהם צריכים", אמר Coombs. "מערכות שונות זקוקות לכמויות שונות של אבטחה. אנחנו רוצים להתאים את זה לתחום ה-IoT."

יישום העקרונות הללו על מעבדים גדולים יותר, לשימוש כללי, הנמצאים במחשבים ניידים ומחשבים שולחניים, התוצאה הסופית לא תהיה שונה באופן קיצוני. בעוד שבשבבים כאלה לא יהיו הליבות הקטנות לצד הגדולות שלהם, הם יכולים ליישם ליבה מאובטחת בקובייה ללא יותר מדי קושי, לפי בן לוין של רמבוס.

"הליבות הללו צריכות להיות וצריכות להיות קטנות בהרבה מאחת מליבות המעבד הגדולות העיקריות שאתה מקבל בשבב של אינטל או AMD", אמר. "זה לא יהיה שבע פלוס אחד, זה יהיה שמונה או כל מעבד ליבה ואחד או אולי יותר מליבת אבטחה קטנה שמספקת פונקציות אבטחה עבור כל הליבות האחרות."

גם באופן מכריע, ליבות כאלה אפילו לא יהיו מסובכות ליישום.

"אנחנו לא הולכים להוסיף הרבה למחזור עיצוב השבבים של הכנסת שבב חדש למוצר צריכה", אמר. "ההשפעה שלנו תהיה די מינימלית. זה פשוט הולך להיות מחזור החיים הרגיל של המוצר של קבלת פיתוח ארכיטקטורת שבבים לייצור, ולאחר מכן לשילוח מוצרים."

מביאים את זה להמונים

אבטחה יכולה להיות בעיה של תרנגולת וביצה, כאשר מפתחים אינם מעוניינים ליישם זאת ללא צורך או דרישה ספציפיים מצד הלקוחות. אבל אם יצרני החומרה היו משלבים את ליבות ה-CPU הקיימות שלהם עם שורש ליבה מאובטח של אמון, העבודה של מפתחי תוכנה תהיה קלה יחסית.

"בהתאם לאפליקציה, הרבה מהשימוש בליבת האבטחה יתבצע ברמת מערכת ההפעלה והמערכת ולא ברמת האפליקציה", הסביר לוין. "אם אתה בונה את מערכת ההפעלה שלך ואת תוכנת המערכת הכוללת שלך בצורה נכונה, אתה יכול להשתמש ברוב פונקציונליות האבטחה הזו מבלי שמפתחי יישומים יצטרכו לדאוג לגבי זה. אתה יכול לספק ממשקי API כדי לחשוף חלק מפונקציונליות ליבת האבטחה שיכולה לצרוך בקלות על ידי מפתח האפליקציה, כמו הצפנה ופענוח נתונים."

על ידי שילוב שורש האמון בחומרה עצמה, והשארת האחריות על הטמעתה למערכות ההפעלה, מפתחי תוכנה יכול ליהנות במהירות מהאבטחה הנוספת שהיא יכולה להביא לכל היבטי המחשוב, כולל הימנעות מהמלכודות של ספקטר ושלו דומים.

זה יכול להיות המקום שבו חברות כמו אינטל ו-AMD טעו עד כה. בעוד התיקונים, תיקוני המיקרוקוד ותיקוני החומרה סייעו למתן חלק מהבעיות של התקפות דמויות Spectre, כולם מגיעים עם מלכודות משלהם. הביצועים ירדו ובמקרים רבים התיקונים האופציונליים אינם מיושמים על ידי יצרני המכשירים מכיוון שהם לא רוצים להפסיד במירוץ החימוש.

במקום זאת, רמבוס, ארם ואחרים מחפשים להתחמק לחלוטין מהנושא.

"אנחנו לא טוענים שאנחנו מתקנים את ספקטר או מלטדאון, מה שאנחנו אומרים זה שקודם כל הניצולים האלה הם לא הפגיעויות היחידות שם", אמר לוין. "תמיד יהיו עוד. המורכבות של המעבדים המודרניים הופכת את זה לבלתי נמנע. בואו נשנה את הבעיה ונקבל שיהיו יותר פגיעויות במעבדים לשימוש כללי ובדברים שאכפת לנו ממנו מאוד, כמו מפתחות, אישורים, נתונים, בוא נעביר את זה מהמעבד ובואו נעקוף את כל הבעיה".

בדרך זו, משתמשים יכולים לסמוך על כך שהמערכת שלהם מאובטחת מבלי להקריב דבר. שורש החומרה של אמון אומר שכל מידע שנגנב הוא חסר תועלת לאף אחד. הוא משאיר את רוח הרפאים של ספקטר בתחום האפל של יתירות, שם הוא יכול להמשיך לרדוף את אלה המשתמשים בחומרה ישנה. אבל ככל שאנשים משתדרגים לדורות עתידיים של חומרה חדשים ומצוידים בשורשי אמון, זה יהפוך להיות יותר ויותר לא רלוונטי והרבה פחות מדאיג.

המלצות עורכים

• AMD עשויה סוף סוף לנצח את אינטל עבור מעבד המשחקים הנייד המהיר ביותר
• השבבים של אינטל עדיין פגיעים, וה-Ice Lake החדש לא יתקן הכל