AMD לעומת אינטל: אילו מעבדים מאובטחים יותר?

ה מרוץ סוסים בין AMD לאינטל כיף לעקוב אחריו, אבל כשזה מגיע לאבטחה, יש הרבה יותר על כף המאזניים מאשר פריימים במשחקים. שם מתנשאת מראה רפאים שקל לשכוח. ניצול הוצאה להורג ספקולטיבי כמו ספקטר והגרסאות שלו, כמו גם ZombieLoad ועוד מספר התקפות בערוץ צדדי, עדיין מפחידות כתמיד.

אינטל ראתה את עיקר האשמה בפגיעות, אבל גם מעבדי AMD לא בדיוק נמצאים בחינם. רחוק מזה.

שתי החברות נאלצו ליישם תיקוני חומרה מקלים ותיקוני חומרה משלהן כדי לוודא שהמשתמשים נשארים בטוחים מהמעללים העלולים להיות מגעילים אלה. אבל עם כל מה שנעשה, מהי האפשרות הבטוחה והמאובטחת יותר לשנת 2019: אינטל או AMD?

נלחם מהיום הראשון

המעללים הראשונים שנחשפו במהלך השנה וחצי הכואבות האחרונות של גילויי באגים, היו ספקטר והגרסה שלו, Meltdown. אבל היכן שחלק גדול מהקטלוג האחורי של AMD הושפע מ-Spectre בלבד, שבבי אינטל שפורסמו עוד ב-2008 היו פגיעים לשניהם. ניצולים אחרים שיתבררו בחודשים שלאחר מכן, כולל Foreshadow, Lazy FPU, Spoiler ו-MDS, היו כולם וקטורי תקיפה ברי קיימא על מעבדי אינטל, אך לא על AMD.

לזכותה של אינטל ייאמר שהיא נלחמת במאבק הטוב למען המשתמשים שלה מאז שהתגלו מעללים אלה, ושחררו תיקוני מיקרוקוד והפחתה באמצעות שותפי תוכנה כמו אפל ומיקרוסופט, שבמידה רבה הופכים את נתיב הניצול הללו מיותר.

אינטל גם החלה ליישם תיקוני חומרה הרבה יותר קבועים לחלק מהניצולים הללו במעבדים האחרונים שלה. תיקונים אלו פועלים ללא תלות במיקרוקוד ובעדכוני תוכנה והופכים מעבדים נבחרים לבטוחים ומוגנים מפני התקפות מסוימות מתוקף עיצובם. אלו הם מוצרים שאינם כוללים את אותם פגמים כמו מעבדים קודמים ומייצגים את המאמץ הטוב ביותר עד כה לעצור התקפות כמו Spectre בדרכו.

אינטל החלה ליישם תיקוני חומרה בשבבים שלה עם שחרורו של מעבדי Whisky Lake-U מהדור השמיני, כולל ה-Core i7-8665U, i7-8565U, ו-i5-8365U, המוגנים מפני Meltdown, Foreshadow ו-RIDL הודות לחומרה שינויים.

תיקונים נוספים יגיעו לצינור עם התפשטות הדרגתית של מעבדים ניידים של Ice Lake 10nm לאורך שאר ימות השנה.

בדיון עם Digital Trends, אינטל הבהירה שאין הבדל מהותי באבטחה בין תיקוני המיקרוקוד/תוכנה לבין הפחתות החומרה.

אבל חשוב לציין שמשתמש הקצה לא צריך לבצע שום פעולה כדי להיות מוגן על ידי תיקוני חומרה. כאשר נדרשים עדכוני מערכת הפעלה או תוכנה, יש סיכוי שהם לא יותקנו וזה עלול להשאיר משתמשים פגיעים.

תיקוני חומרה הם פתרון הרבה יותר קבוע לבעיה, ולפי אינטל, "מעבדי אינטל העתידיים יכללו הפחתות חומרה המתייחסות לפגיעויות ידועות". זה מנחם לדעת שאינטל מעצבת את המוצרים העתידיים שלה מתוך מחשבה על אבטחה, אבל תיקוני החומרה האלה לא יהיו ממצים.

כפי שפול קוצ'ר, יועץ טכנולוגי בכיר ברמבוס, אמר ל-Digital Trends מוקדם יותר השנה, "כאשר אתה מתמודד עם הגרסה הבסיסית ביותר של ספקטר, האסטרטגיה היחידה שאינטל ניסחה דוחפת את הבעיה לתוכנה באופן שמפתחי התוכנה אינם מצוידים בה. לטפל […] הפתרון המוצע הוא כל מה שיש לך סניף מותנה, אז הצהרת "אם" בתוכנית, שיכולה להוביל לצרות אם זה היה חזוי לא נכון. אתה אמור לשים הוראה בשם "L Fence! ב. אפילו עם העיצוב החדש, הצבת L Fence חייבת לעצור ספקולציות ולהשפיע על הביצועים".

למרות שלא מושפעת כמו אינטל, AMD מביאה גם תיקוני חומרה על החומרה מהדור החדש שלה. מעבדי ה-Ryzen 3000 שלו כולם כוללים תיקוני חומרה עבור Spectre ו-Spectre V4, לצד הגנות על מערכת ההפעלה.

מחיר הבטיחות

תיקוני חומרה אינם חשובים רק מכיוון שהם מוודאים שלכל מי שיש לו את השבב הזה יש את אותם תיקונים נכונים מחוץ לקופסה, אלא מכיוון שלתיקוני חומרה אין את אותם אובדן ביצועים כמו לחלק מהתוכנות טלאים. במקרים מסוימים, הם צריכים לכבות ביעילות תכונות חשובות כדי להגן מפני התקפות מסוימות.

למרות שלא ניתן להשוות ישירות להשפעות ההפחתה על מחשבי Windows, Phoronix ערכה בדיקות מקיפות כיצד הם השפיעו על פלטפורמת לינוקס. הוא מציין ירידה ניכרת בביצועים במגוון בדיקות. במקרים בהם ההיתר ההילוכים כבוי לחלוטין, אשר חברות כמו אפל וגוגל ממליצות, היה ירידה ממוצעת של 25 אחוז בביצועים הכוללים.

AMD לא הייתה חסינה מפני אובדן ביצועים עם הפחתת תוכנה במקום. הבדיקה של פורוניקס ציינו ירידה של אחוזים בודדים ברוב המקרים, אם כי הם בדרך כלל היו הרבה פחות משפיעים מאלה של אינטל. זה היה נכון ב סבב הבדיקות האחרון גם עם מעבדי Ryzen 3000, שבו שבבי אינטל התחילו מהר יותר במקרים מסוימים, אך הפכו לאיטיים יותר לאחר הפחתה.

כאשר פנינו לאינטל כדי לדון בפגיעה בביצועים מההפחתות הניצול שלה, היא הפחיתה את ההשפעה, והציעה כי "באופן כללי אם מדברים, בעוד שנצפתה השפעות ביצועים על עומסי עבודה נבחרים של מרכזי נתונים, לצרכן הממוצע ההשפעה של תיקונים אלה היא מִינִימָלִי."

זה גם הצביע לנו על דיווח של בלוג אבטחה, The Daily Swig, שאסף מספר הצהרות על הלהיט הביצועים מ-Spectre Variant Mitigations. התוצאות היו בעיקר חיוביות בחזית אינטל, כאשר מספר מקורות של סוויג מצביעים על כך שההשפעה על משתמשי הקצה הייתה מינימלית. עם זאת, הוא הראה שבמקרים מסוימים, במיוחד במרכזי נתונים ושרתי ענן, חלק מהבדיקות ראו השפעה של 10-15 אחוז מהתיקונים.

עד כמה שזה מאכזב לאבד ביצועים במעבד, הדאגה הגדולה יותר היא המכשיר הזה היצרנים לא יישמו את ההקלות מחשש שהמכשיר שלהם ייראה פחות מסוגל מזה תַחֲרוּת. אינטל הפכה את התיקונים למימוש אופציונלי עבור יצרני מכשירים ומשתמשי קצה. זה משהו שיוצר לינוקס, לינוס טורוואלדס, ספג ביקורת קשה בתחילת 2018.

כששאלנו את אינטל אם הנוהג הזה ימשיך להתקדם, היא הציעה שהיא לא תחייב תיקוני אבטחה עבור השותפים שלה, אבל כי, "כמו תמיד, אינטל מעודדת את כל משתמשי המחשבים לוודא שהם שומרים על המערכות שלהם מעודכנות, מכיוון שזו אחת הדרכים הטובות ביותר להישאר מוּגָן."

לגרום לכל אחד לעשות זאת, בין אם זה א סמארטפון או מחשב נייד, זה משהו שחברות רבות נאבקות בו, גם אם כן אחת הדרכים החשובות ביותר לשמור על בטיחות המכשירים שלך מהאקרים ותוכנות זדוניות כלליות. אז העובדה שהטלאים המסוימים האלה יכולים לגרום לירידה בביצועים הופכת אותו למכירה קשה עוד יותר. במיוחד מכיוון שיש מעט מאוד עדויות המצביעות על התקפות הוצאה להורג ספקולטיביות שהתרחשו בטבע.

בדיון שלנו עם אינטל בעניין, היא הציעה שוב את חומרת נתיבי הניצול הללו, וקבעה כי "ניצול ביצוע ספקולטיבי פגיעות ערוץ צדדי מחוץ לסביבת מעבדה היא מורכבת ביותר ביחס לשיטות אחרות שיש לתוקפים רְשׁוּת."

זה גם הצביע על מחקר של וירג'יניה טק משנת 2019 שהדגיש כיצד ממוצע של רק 5.5 אחוז מהפגיעות שהתגלו נוצלו באופן פעיל בטבע.

אל תפחד. היו מתחשבים

ככל שספקטר ודומיו מפחידים, הטענות של אינטל צריכות למתן את הפחד הזה. לא סביר שספקטר נוצל בטבע, עד כה. סביר גם שכל מי שמחפש לפרוץ למערכת הספציפית שלך ישתמש בשיטות אחרות לפני שהוא בכלל שוקל נתיב התקפה כמו Spectre והגרסאות שלו. פשוט יש דרכים הרבה יותר קלות לעשות את זה. לא פחות מכך רק להתקשר אליך ולנסות להנדס אותך חברתי לוותר על המידע הפרטי שלך.

אבל זה לא אומר שאנחנו לא צריכים לקחת בחשבון את החששות שלנו לגבי ספקטר בכל הנוגע לקניית חומרה חדשה. העובדה היא שחומרת אינטל רגישה יותר מזו של AMD, פשוט בגלל שיש מספר גדול יותר של נתיבי ניצול פוטנציאליים במעבדי אינטל ועוד הסתמכות על תיקוני תוכנה שאולי היו או לא היו מוטמע.

חומרה חדשה יותר משתי החברות בטוחה יותר ומושפעת פחות מהפחתות מאשר שבבים ישנים יותר. תמצאו תיקוני חומרה נוספים הן במעבדי Ryzen 3000 העדכניים ביותר והן בשבבים מהדור ה-9 של אינטל. אייס לייק מבטיח מספר תיקונים גדול מתמיד ושבבי השמועות של Comet Lake S של אינטל בשנת 2020 ללא ספק יכללו עדיין תיקונים נוספים.

אם אתה מודאג לגבי Spectre, שדרוג המעבד שלך לכל אחד מהדורות האחרונים של שבבים של אינטל ו-AMD בהחלט שווה לשקול. אם אתה מודאג במיוחד או לא רוצה לדאוג לגבי תיקוני תוכנה, אז מעבדי AMD מושפעים פחות מהתקפות אלה.

כדאי גם לציין שרוב המומחים שדיברנו איתם חושבים שלא ראינו את הניצול האחרון מסוג זה, עם פוטנציאל נוסף שירדו מהצינור. כלומר, עד שאינטל ובני דורה יפתחו אסטרטגיה מונעת חדשה - עמ'אולי כמו א הליבה מאובטחת ממש על הקוביה. היתרונות הפוטנציאליים החדשים והבלתי נתגלו עלולים להוביל לירידה נוספת בביצועים גם בחומרה קיימת.

כל זה רק ספקולציות; אולי דרך ראויה להסתכל על עתידו של באג ביצוע ספקולטיבי. לעת עתה, לא סביר שתהיה השפעה גדולה על העולם האמיתי עבור האדם הממוצע כשזה מגיע לבאגים מסוג זה. אבל, אם אתה צריך לבחור מנצח מבחינת אבטחה וביצועים, אין להכחיש שלחומרת AMD יש את ההובלה כרגע. החומרה של אינטל עדיין מצוינת בכל כך הרבה מובנים, אבל זה אחד שבו נקודות החוזק שלה מופנות נגדה.

המלצות עורכים

• Ryzen 5 5600X3D הקרוב של AMD עשוי להדיח לחלוטין את אינטל בבניית תקציב
• אסוס נלחמת להציל פנים לאחר מחלוקת ענקית של AMD Ryzen
• אסטרטגיית התמחור השערורייתית של Nvidia היא בדיוק הסיבה שאנחנו צריכים AMD ואינטל
• AMD מפסידה בקרב הבינה המלאכותית, והגיע הזמן שהיא תתחיל לדאוג
• תמחור Ryzen 9 7950X3D של AMD שומר על הלחץ על אינטל