Vă amintiți exploatările de securitate Spectre și Meltdown de anul trecut? Intel și AMD speră cu adevărat că nu. În ciuda a ceea ce vor ei să crezi, aceste exploatații de execuție speculative nu dispar, cel puțin nu cu soluțiile propuse până acum.
Cuprins
- Începând de la rădăcină
- Ocolind Spectrul
- Securitate, dar cu ce preț?
- Mare, mic și sigur
- Aducând-o maselor
În loc să încercați să remediați fiecare variantă care apare, o remediere permanentă va necesita o schimbare fundamentală a modului în care sunt proiectate procesoarele. Propunerea? Un „nucleu securizat” care se asigură că datele tale rămân în siguranță de atacatori, indiferent de erorile pe care aceștia ar putea încerca să le exploateze.
Videoclipuri recomandate
S-ar putea să nu fie calea pe care aceste mari companii de procesoare doresc să o urmeze, dar ar putea fi singura care funcționează cu adevărat.
Legate de
- Apărarea AMD împotriva Spectre V2 poate fi inadecvată
Începând de la rădăcină
Când se lansează o nouă generație de procesoare, prima întrebare pe buzele oricui este „cât de rapid este aceasta?" Mai multe megaherți, mai multe nuclee, mai mult cache, toate pentru ca aplicațiile să ruleze mai repede și jocurile să funcționeze mai bine. Considerații secundare ar putea fi cerințele de energie sau de căldură, dar rareori cineva întreabă despre securitate.
Înțelegerea Spectrelor și a Meltdown-ului
Problema cu aceasta este că îmbunătățirile de performanță din ultimii câțiva ani au fost în mare parte determinate de predicție speculativă, adică CPU-urile ghicesc ce vei face în continuare și pregătesc tot ce ai putea nevoie de ea. Este grozav pentru performanță, dar așa cum au arătat Spectre și variantele sale, este groaznic pentru securitate.
“Execuție speculativă a fost o caracteristică de optimizare a performanței procesoarelor de mult timp”, a declarat Jean-Philippe Taggart pentru Digital Trends. El a explicat cum tocmai această caracteristică face CPU-urile Intel și ale altora vulnerabile la atacurile Spectre și similare. „Arhitectura CPU va avea nevoie de o regândire serioasă, fie pentru a păstra aceste îmbunătățiri de performanță, dar pentru a le proteja de atacuri precum Spectre, fie pentru a le elimina complet”, a spus el.
„Este greu în securitate dacă ești mereu reactiv, trebuie să aștepți vulnerabilitățile de securitate și apoi să le repari”
O soluție potențială este adăugarea unei noi piese hardware la generațiile viitoare de procesoare. În loc să se ocupe de sarcini sensibile (care fac astfel de atacuri merită) pe nuclee de procesare cu putere mare, ce-ar fi dacă producătorii de cipuri ar combina acele nuclee cu un nucleu suplimentar care este proiectat special cu astfel de sarcini în minte? Un nucleu de securitate.
Procedând astfel, Spectre și variantele sale ar putea face o problemă pentru noul hardware. Nu ar conta dacă principalele nuclee CPU de mâine ar fi vulnerabile la astfel de atacuri, deoarece informațiile private sau securizate nu ar mai fi gestionate de acele nuclee.
Acest concept de rădăcină a încrederii este mai mult decât o simplă schiță. În unele cazuri, este deja un produs viabil și toate companiile majore de cipuri precum Intel sau AMD ar trebui să facă pentru a profita de el, este să-l adopte.
Ocolind Spectrul
„Este greu în securitate dacă ești mereu reactiv, trebuie să aștepți vulnerabilitățile de securitate și apoi să le repari.” Directorul senior de management al produselor al Rambus, Ben Levine a declarat pentru Digital Trends, când a fost întrebat despre varianta în curs de desfășurare a Spectre amenințări. „Problema aceea de a încerca să securizeze un procesor complex este într-adevăr calea grea. Acolo am venit cu abordarea de a muta funcționalitățile critice de securitate într-un nucleu separat.”
Deși nu este primul care a sugerat o astfel de idee, Rambus a rafinat-o. Este Rădăcina de încredere CryptoManager este un nucleu separat care ar sta pe o matriță majoră a procesorului, un pic ca conceptul big.little găsit în multe procesoare mobile și chiar în cel al Intel. noul design Lakefield. În cazul în care aceste cipuri folosesc nuclee mai mici pentru economisirea energiei, o rădăcină sigură a încrederii s-ar concentra pe securitate mai presus de orice.
Ar combina un procesor fără aspectele speculative ale procesoarelor majore, cu acceleratoare pentru criptografie și propria memorie securizată. Ar fi un design relativ simplu în comparație cu monstruoasele procesoare de uz general care rulează computerele noastre astăzi, dar, în acest fel, ar fi mult mai sigur.
Protejându-se, nucleul securizat ar putea apoi să preia sarcinile cele mai sensibile pe care le-ar gestiona de obicei un nucleu CPU cu scop general. Securizarea cheilor de criptare, validarea tranzacțiilor bancare, procesarea încercărilor de autentificare, stocarea informațiilor private în memorie securizată sau verificarea înregistrărilor de pornire nu au fost corupte în timpul pornirii.
„… Acele operațiuni sunt relativ lente de făcut în software, dar un nucleu de securitate poate avea acceleratoare hardware pentru a face asta mult mai rapid.”
Toate acestea ar putea ajuta la îmbunătățirea securității generale a unui sistem care l-a folosit. Mai bine, deoarece ar lipsi îmbunătățiri speculative de performanță, ar fi complet sigur împotriva atacurilor de tip Spectre, invalidându-le. Astfel de atacuri ar putea fi încă percepute împotriva nucleelor CPU principale, dar din moment ce nu ar gestiona nicio dată care ar merita furată, nu ar conta.
„Ideea nu este să venim cu un singur CPU care să poată face totul pentru a fi foarte rapid și foarte sigur, dar să optimizăm diferite nuclee separat pentru diferite obiective”, a explicat Levine. „Să ne optimizăm procesorul principal pentru performanță sau putere mai mică, indiferent de ceea ce este important pentru acel sistem, și să optimizăm un alt nucleu pentru securitate. Acum avem aceste două domenii de procesare optimizate separat și procesăm în oricare dintre acestea este cel mai potrivit, având în vedere caracteristicile calculului și ale sistemului.”
Un astfel de nucleu ar funcționa puțin ca cipul de coprocesor T2 introdus de Apple cu iMac-ul său și implementat ulterior în 2018.
Securitate, dar cu ce preț?
Se spune adesea că complexitatea este inamicul securității. De aceea, designul central securizat pe care îl propune Rambus este relativ simplu. Nu este un cip mare, monstruos, cu mai multe nuclee și o viteză mare de ceas, precum procesoarele tipice găsite în desktop-uri sau laptopuri.
Deci, asta înseamnă că am sacrifica performanța dacă un astfel de nucleu ar fi folosit alături de un cip modern? Nu neaparat.
Reducerea importantă a ideii unui nucleu securizat, fie că este vorba despre Rădăcina de încredere CryptoManager de la Rambus sau un design similar de la o altă firmă, este că ar îndeplini doar sarcini care s-au concentrat pe confidențialitate sau Securitate. Nu ai avea nevoie de el pentru a-ți prelua hrănirea placă grafică în timpul unei sesiuni de joc sau modificarea imaginilor în Photoshop. S-ar putea să preferați să se ocupe de criptarea mesajelor dvs. printr-o aplicație de chat. Acolo hardware-ul specializat ar putea avea unele beneficii dincolo de securitate.
„Lucruri precum algoritmi criptografici, criptarea sau decriptarea dintr-un algoritm precum AES sau utilizarea unui algoritm cu cheie publică precum RSA sau eliptică. curba, aceste operațiuni sunt relativ lente de făcut în software, dar un nucleu de securitate poate avea acceleratoare hardware pentru a face asta mult mai rapid”, Levine a spus.
„Funcăm pentru simplitate și dacă păstrați ceva simplu, rămâneți mic. Dacă este mic, este o putere mică.”
Este ceva cu care șeful de securitate IoT al Arm, Rob Coombs este foarte de acord.
„De obicei, root of trusts se va construi într-un accelerator cripto, deci este nevoie de puțin mai mult siliciu, dar avantajul este că este performanță mai mare pentru lucruri precum funcțiile cripto, așa că nu vă bazați doar pe procesor pentru a realiza criptarea regulată a fișierului”, el a spus. „Procesorul îl poate configura și apoi motorul cripto poate roști prin date și le poate cripta sau decripta. Obții performanțe mai mari.”
Procesoarele moderne, precum Intel, au criptoacceleratoare proprii, așa că s-ar putea să nu fie cazul ca criptarea sau decriptarea ar fi fundamental mai rapidă decât un CPU de uz general care finalizează aceeași sarcină, dar ar putea fi comparabil.
Deși Coombs a evidențiat în discuția sa cu noi că o rădăcină a nucleului de încredere ar necesita puțin siliciu suplimentar pentru a produce, costul a face acest lucru pe alți factori importanți, cum ar fi prețul de producție, consumul de putere al cipului sau ieșirile sale termice, ar fi în mare parte neafectate.
Ben Levine din Rambus a fost de acord.
„Nucleul de securitate este doar mic în comparație cu orice altceva”, a spus el. „Nu există într-adevăr un impact semnificativ asupra costului cipului, al puterii sau al cerințelor termice. Puteți face multe într-o zonă destul de mică de logică dacă o proiectați cu atenție. Ne uităm la simplitate și dacă păstrați ceva simplu, îl păstrați mic. Dacă este mic, este o putere mică.”
Singura lui avertisment a fost că în dispozitivele mai mici, cu o putere mai mică, precum cele utilizate în IoT, nucleul securizat al lui Rambus ar avea un impact mai mare asupra puterii și costurilor. Aici ar putea interveni abordarea mai modulară a lui Arm.
Mare, mic și sigur
Arm a fost un pionier timpuriu al ideii de mare mic CPU-uri, sau nuclee mari și nuclee mici în același procesor. Astăzi este o caracteristică comună și în dispozitivele mobile de la Qualcomm și Apple. Vede nuclee mai mari ale procesorului utilizate pentru ridicarea greutății, atunci când este necesar, în timp ce nucleele mai mici se ocupă de sarcinile mai obișnuite pentru a economisi energie. Abordarea lui Arm se bazează pe această idee de a construi rădăcina încrederii în cipurile principale, precum și în microcontrolere mult mai mici pentru utilizare într-o gamă mai largă de dispozitive.
„Am definit ceva numit a PSA (arhitectura de securitate a platformei) root of trust cu unele funcții de securitate esențiale încorporate, cum ar fi criptografie, boot securizat, stocare securizată; Fiecare dispozitiv IOT va avea nevoie de acestea”, a explicat Coobs pentru Digital Trends.
Dintre toți cei mai importanți producători de cipuri, Arm a fost cel mai puțin afectat de Spectre și Meltdown. Acolo unde Intel era vulnerabil la cea mai largă gamă de atacuri potențiale și AMD a trebuit să lanseze o serie de microcoduri și modificări ale software-ului, Arm a reușit să-și consolideze apărările deja solide înainte ca erorile de execuție speculative să apară dezvăluit.
Acum Arm își concentrează eforturile pe securizarea internetului lucrurilor. Coombs consideră că un nucleu sigur, rădăcină a încrederii este una dintre cele mai bune modalități de a face acest lucru și dorește să vadă fiecare dispozitiv IoT implementând un astfel de sistem. Pentru a ajuta la atingerea acestuia, Arm oferă software open source, îndrumări de dezvoltare și soluții hardware pentru problemele de securitate cu care se confruntă dezvoltatorii IoT de astăzi.
.. O mare parte din utilizarea nucleului de securitate se va face la nivel de sistem de operare și sistem și nu la nivel de aplicație
„Am creat o implementare open source și de referință, iar acum, cu certificatul PSA, am creat un schema de securitate pe mai multe niveluri [unde] oamenii pot alege robustețea de securitate de care au nevoie”, a spus Coombs. „Diferitele sisteme au nevoie de cantități diferite de securitate. Vrem să facem acest lucru potrivit pentru spațiul IoT.”
Aplicând aceste principii la procesoarele mai mari, de uz general, găsite în laptopuri și desktop-uri, rezultatul final nu ar fi drastic diferit. În timp ce astfel de cipuri nu ar avea miezurile mici alături de cele mari, ele ar putea implementa un nucleu sigur pe matriță fără prea multe dificultăți, conform lui Ben Levine de la Rambus.
„Aceste nuclee ar trebui să fie și trebuie să fie mult mai mici decât unul dintre principalele nuclee CPU mari pe care le obțineți într-un cip de la Intel sau AMD”, a spus el. „Nu vor fi șapte plus unu, vor fi opt sau orice procesor de bază și unul sau poate mai mult de unul, un nucleu de securitate mic, care oferă funcții de securitate pentru toate celelalte nuclee.”
De asemenea, este esențial că astfel de nuclee nu ar fi nici măcar complicat de implementat.
„Nu vom adăuga prea mult la ciclul de proiectare a cipurilor de introducere a unui cip nou într-un produs de consum”, a spus el. „Impactul nostru va fi destul de minim. Va fi doar ciclul normal de viață al produsului de a introduce dezvoltarea unei arhitecturi de cip în producție, apoi în livrarea produselor.”
Aducând-o maselor
Securitatea poate fi o problemă de pui și ou, dezvoltatorii care nu doresc să o implementeze fără o nevoie sau o cerere specifică din partea clienților. Dar dacă producătorii de hardware ar combina nucleele CPU existente cu o rădăcină sigură de încredere, munca dezvoltatorilor de software ar fi una relativ ușoară.
„În funcție de aplicație, o mare parte din utilizarea nucleului de securitate se va face la nivel de sistem de operare și sistem și nu la nivel de aplicație”, a explicat Levine. „Dacă vă construiți corect sistemul de operare și software-ul de sistem, atunci puteți utiliza cea mai mare parte a acestei funcționalități de securitate fără ca dezvoltatorii de aplicații să fie nevoiți să-și facă griji. Puteți furniza API-uri pentru a expune unele dintre funcționalitățile de bază de securitate care ar putea fi ușor consumate de dezvoltatorul de aplicații, cum ar fi criptarea și decriptarea datelor.”
Încorporând rădăcina încrederii în hardware-ul în sine și lăsând responsabilitatea implementării acestuia în sarcina sistemelor de operare, dezvoltatorilor de software ar putea beneficia rapid de securitatea suplimentară pe care o poate aduce tuturor fațetelor de calcul, inclusiv evitând capcanele Spectre și cumva.
Acesta ar putea fi locul în care companii precum Intel și AMD au greșit până acum. În timp ce patch-urile, remedierea microcodurilor și ajustările hardware au ajutat la atenuarea unora dintre problemele atacurilor de tip Spectre, toate vin cu propriile lor capcane. Performanța a fost degradată și, în multe cazuri, patch-urile opționale nu sunt aplicate de producătorii de dispozitive pentru că nu doresc să piardă cursa înarmărilor de putere.
În schimb, Rambus, Arm și alții caută să evite problema în totalitate.
„Nu pretindem că reparăm Spectre sau Meltdown, ceea ce spunem este că, mai întâi, aceste exploatări nu sunt singurele vulnerabilități existente”, a spus Levine. „Întotdeauna vor fi mai multe. Complexitatea procesoarelor moderne face acest lucru inevitabil. Să schimbăm problema și să acceptăm că vor exista mai multe vulnerabilități în procesoarele de uz general și lucrurile de care ne pasă foarte mult, cum ar fi cheile, acreditările, datele, să le mutăm din CPU și să ocolim întreaga problemă.”
În acest fel, utilizatorii pot avea încredere că sistemul lor este securizat fără a trebui să sacrifice nimic. Rădăcina hardware-ului de încredere înseamnă că orice date care sunt furate sunt inutile pentru nimeni. Lasă fantoma lui Spectre în tărâmul întunecat al redundanței, unde poate continua să-i bântuie pe cei care folosesc hardware vechi. Dar, pe măsură ce oamenii fac upgrade la noile generații viitoare de hardware dotate cu încredere, ar deveni din ce în ce mai irelevant și mult mai puțin îngrijorător.
Recomandările editorilor
- AMD ar putea în sfârșit să învingă Intel pentru cel mai rapid procesor pentru jocuri mobile
- Cipurile Intel sunt încă vulnerabile, iar noul Ice Lake nu va corecta totul