Помните прошлогодние эксплойты безопасности Spectre и Meltdown? Intel и AMD очень надеются, что вы этого не сделаете. Несмотря на то, во что они хотят, чтобы вы поверили, эти спекулятивные эксплойты не исчезнут, по крайней мере, с предлагаемыми на данный момент решениями.
Содержание
- Начиная с корня
- Обходящий призрак
- Безопасность, но какой ценой?
- Большой, маленький и безопасный
- Нести это в массы
Вместо того, чтобы пытаться исправить каждый возникающий вариант, постоянное исправление потребует фундаментального изменения в конструкции процессоров. Предложение? «Безопасное ядро», которое гарантирует, что ваши данные останутся в безопасности от злоумышленников, независимо от того, какие ошибки они могут попытаться использовать.
Рекомендуемые видео
Возможно, это не тот путь, по которому хотят идти крупные процессорные компании, но, возможно, это единственный путь, который действительно работает.
Связанный
- Защита AMD от Spectre V2 может оказаться недостаточной
Начиная с корня
Когда выпускается новое поколение процессоров, первый вопрос, который у всех на устах: «Насколько быстро он работает? это?" Больше мегагерц, больше ядер, больше кэша — все для того, чтобы приложения работали быстрее, а игры — производительнее. лучше. Второстепенными факторами могут быть требования к электропитанию или тепловыделению, но о безопасности никто не спрашивает.
Понимание Spectre и Meltdown
Проблема в том, что повышение производительности за последние несколько лет в основном было обусловлено спекулятивное предсказание, то есть процессоры угадывают, что вы собираетесь делать дальше, и готовят все, что вы можете необходимость в этом. Это хорошо для производительности, но, как показали Spectre и его варианты, это ужасно для безопасности.
“Спекулятивное исполнение уже давно является функцией оптимизации производительности процессоров», — рассказал Digital Trends старший исследователь безопасности Malwarebytes Жан-Филипп Таггарт. Он объяснил, что именно эта функция делает процессоры Intel и других производителей уязвимыми для Spectre и подобных атак. «Архитектура процессора потребует серьезного переосмысления, чтобы либо сохранить эти улучшения производительности, но защитить их от таких атак, как Spectre, либо полностью отказаться от них», — сказал он.
«Трудно в сфере безопасности, если вы всегда реагируете, вам приходится ждать уязвимостей безопасности, а затем их исправлять»
Одним из потенциальных решений является добавление нового аппаратного обеспечения к будущим поколениям процессоров. Вместо решения деликатных задач (которые делают такие атаки стоит) на мощных вычислительных ядрах, что, если производители чипов объединят эти ядра с дополнительным ядром, специально разработанным для таких процессоров? задачи в уме? Ядро безопасности.
Это может сделать Spectre и его варианты не проблемой для нового оборудования. Не имело бы значения, если бы основные ядра процессоров завтрашнего дня были уязвимы для таких атак, поскольку личная или защищенная информация больше не будет обрабатываться этими ядрами.
Эта концепция корня доверия — это больше, чем просто приблизительный набросок. В некоторых случаях это уже жизнеспособный продукт, и всем крупным компаниям-производителям микросхем, таким как Intel или AMD, необходимо будет принять его на вооружение, чтобы воспользоваться его преимуществами.
Обходящий призрак
«В сфере безопасности сложно, если вы всегда реагируете, вам приходится ждать уязвимостей безопасности, а затем их исправлять», Старший директор по управлению продуктами Rambus Бен Левин рассказал Digital Trends, когда его спросили о текущем варианте Spectre. угрозы. «Проблема попытки обеспечить безопасность сложного процессора на самом деле трудна. Именно здесь мы придумали подход, заключающийся в переносе критически важных для безопасности функций в отдельное ядро».
Хотя Рамбус и не первый, кто предложил такую идею, он усовершенствовал ее. Его КриптоМенеджер Корень доверия Это отдельное ядро, которое размещается на основном кристалле ЦП, что немного похоже на концепцию big.little, используемую во многих мобильных процессорах и даже в собственных процессорах Intel. новый дизайн Лейкфилда. Хотя эти чипы используют ядра меньшего размера для экономии энергии, безопасный корень доверия будет сосредоточен на безопасности прежде всего.
Он будет сочетать в себе процессор без спекулятивных аспектов основных процессоров, ускорители криптографии и собственную защищенную память. Это была бы относительно простая конструкция по сравнению с чудовищными процессорами общего назначения, на которых сегодня работают наши компьютеры, но при этом она была бы гораздо более безопасной.
Защищая себя, защищенное ядро может затем взять на себя наиболее чувствительные задачи, которые в противном случае обычно выполняло бы ядро ЦП общего назначения. Защита ключей шифрования, проверка банковских транзакций, обработка попыток входа в систему, хранение личной информации в защищенной памяти или проверка загрузочных записей не были повреждены во время запуска.
«…Эти операции относительно медленно выполняются в программном обеспечении, но ядро безопасности может иметь аппаратные ускорители, которые сделают это намного быстрее».
Все это может помочь улучшить общую безопасность системы, которая его использует. Более того, поскольку в нем не будет спекулятивных улучшений производительности, он будет полностью защищен от атак типа Spectre, что сделает их недействительными. Такие атаки по-прежнему могут быть направлены против основных ядер ЦП, но, поскольку они не будут обрабатывать данные, которые стоило бы украсть, это не имело бы значения.
«Идея состоит не в том, чтобы придумать один процессор, который может делать все, чтобы быть очень быстрым и очень безопасным, а в том, чтобы оптимизировать разные ядра отдельно для разных целей», — объяснил Левин. «Давайте оптимизируем наш основной процессор для повышения производительности или снижения энергопотребления, что важно для этой системы, и оптимизируем другое ядро для обеспечения безопасности. Теперь у нас есть эти две отдельно оптимизированные области обработки, и мы выполняем обработку в зависимости от того, какая из них является наиболее подходящей, учитывая характеристики расчета и рассматриваемой системы».
Такое ядро будет работать примерно так же, как чип сопроцессора T2, который Apple представила в своем iMac, а затем реализовала в своем компьютере в 2018 году.
Безопасность, но какой ценой?
Часто говорят, что сложность — враг безопасности. Вот почему конструкция безопасного ядра, которую предлагает Rambus, относительно проста. Это не большой, чудовищный чип с несколькими ядрами и высокой тактовой частотой, как у типичных процессоров, используемых в настольных компьютерах или компьютерах. ноутбуки.
Означает ли это, что мы пожертвуем производительностью, если такое ядро будет использоваться вместе с современным чипом? Не обязательно.
Важный вывод из идеи безопасного ядра, будь то корень доверия CryptoManager от Rambus или аналогичный дизайн другой фирмы заключается в том, что он будет выполнять только задачи, ориентированные на конфиденциальность или безопасность. Вам не понадобится, чтобы он взял на себя кормление вашего видеокарта во время игровой сессии или настройки изображений в Photoshop. Однако вы можете предпочесть, чтобы он шифровал ваши сообщения через приложение чата. Именно здесь специализированное оборудование может иметь некоторые преимущества, помимо безопасности.
«Такие вещи, как криптографические алгоритмы, шифрование или дешифрование с помощью алгоритма, такого как AES, или использование алгоритма с открытым ключом, такого как RSA или эллиптический алгоритм. кривой, эти операции относительно медленно выполняются в программном обеспечении, но ядро безопасности может иметь аппаратные ускорители, чтобы делать это намного быстрее», — Левин сказал.
«Мы стремимся к простоте, и если вы сохраняете что-то простое, то оно должно быть небольшим. Если он маленький, то это малая мощность».
С этим полностью согласен глава отдела безопасности IoT компании Arm Роб Кумбс.
«Обычно корень трастов встроен в криптоускоритель, поэтому для этого требуется немного больше кремния, но положительным моментом является то, что он более высокая производительность для таких функций, как криптографические функции, поэтому вы не полагаетесь только на процессор для регулярного шифрования файла», — он сказал. «Процессор может настроить это, а затем криптомеханизм сможет переварить данные и зашифровать или расшифровать их. Вы получаете более высокую производительность».
Современные процессоры, подобные Intel, имеют собственные криптоускорители, так что, возможно, дело не в этом. шифрование или дешифрование будут существенно быстрее, чем процессор общего назначения, выполняющий ту же задачу, но это может быть сопоставимо.
Хотя Кумбс подчеркнул в своем разговоре с нами, что для производства ядра корня доверия потребуется немного дополнительного кремния, стоимость это будет зависеть от других важных факторов, таких как цена производства, потребляемая мощность чипа или его тепловая мощность. незатронутый.
Бен Левин из Rambus согласился.
«Ядро безопасности просто крошечное по сравнению со всем остальным», — сказал он. «На самом деле существенного влияния на стоимость чипа, энергопотребление или тепловые требования не окажет. Вы можете многое сделать в довольно маленькой логической области, если тщательно ее спроектировать. Мы стремимся к простоте, и если вы сохраняете что-то простое, значит, оно должно быть небольшим. Если он маленький, то это малая мощность».
Его единственное предостережение заключалось в том, что в небольших устройствах с меньшим энергопотреблением, таких как те, которые используются в IoT, безопасное ядро Rambus будет иметь большее влияние на мощность и стоимость. Вот тут-то и может помочь более модульный подход Arm.
Большой, маленький и безопасный
Арм был одним из первых пионеров идеи большой маленький Процессоры или большие ядра и маленькие ядра в одном процессоре. Сегодня это обычная функция в мобильных устройствах Qualcomm и Apple. Он видит, что более крупные ядра ЦП используются для тяжелой работы по мере необходимости, в то время как меньшие ядра справляются с более распространенными задачами, чтобы сэкономить электроэнергию. Подход Arm основан на этой идее создания корня доверия в основных чипах, а также в гораздо меньших по размеру микроконтроллерах для использования в более широком спектре устройств.
«Мы определили то, что называется PSA (архитектура безопасности платформы)) корень доверия с некоторыми встроенными важными функциями безопасности, такими как криптография, безопасная загрузка, безопасное хранение; Они потребуются каждому устройству IOT», — объяснил Кубс Digital Trends.
Из всех крупных производителей чипов Arm, возможно, меньше всего пострадала от Spectre и Meltdown. Там, где Intel была уязвима для самого широкого спектра потенциальных атак, а AMD пришлось выпустить ряд микрокодов. и настройки программного обеспечения, Arm смогла укрепить свою и без того надежную защиту до того, как были обнаружены спекулятивные ошибки выполнения. раскрытый.
Теперь Arm концентрирует свои усилия на обеспечении безопасности Интернета вещей. Кумбс считает, что безопасное ядро и корень доверия — один из лучших способов добиться этого, и он хочет, чтобы каждое устройство Интернета вещей реализовало такую систему. Чтобы помочь в достижении этой цели, Arm предлагает программное обеспечение с открытым исходным кодом, рекомендации по разработке и аппаратные решения для проблем безопасности, с которыми сталкиваются сегодня разработчики Интернета вещей.
.. Большая часть использования ядра безопасности будет осуществляться на уровне ОС и системы, а не на уровне приложений.
«Мы создали эталонную реализацию с открытым исходным кодом, а теперь, получив сертификат PSA, мы создали многоуровневая схема безопасности, [где] люди могут выбирать необходимую им надежность безопасности», — сказал Кумбс. «Различным системам требуется разная степень безопасности. Мы хотим сделать это пригодным для пространства Интернета вещей».
Применив эти принципы к более крупным процессорам общего назначения, установленным в ноутбуках и настольных компьютерах, конечный результат не будет сильно отличаться. По словам Бена Левина из Rambus, хотя такие чипы не будут иметь маленьких ядер рядом с большими, они смогут без особых проблем реализовать безопасное ядро на кристалле.
«Эти ядра должны быть намного меньше, чем одно из основных ядер ЦП, которые вы получаете в чипе от Intel или AMD», — сказал он. «Это будет не семь плюс один, это будет восьмиядерный процессор или что-то в этом роде и одно или, возможно, более одного небольшого ядра безопасности, которое обеспечивает функции безопасности для всех остальных ядер».
Важно также то, что такие ядра даже не будет сложно реализовать.
«Мы не собираемся сильно добавлять новый чип к циклу разработки потребительского продукта», — сказал он. «Наше влияние будет минимальным. Это будет обычный жизненный цикл продукта: разработка архитектуры чипа будет запущена в производство, а затем отправлена в продажу».
Нести это в массы
Безопасность может быть проблемой курицы и яйца, поскольку разработчики не стремятся реализовывать ее без особых потребностей или требований со стороны клиентов. Но если бы производители оборудования объединили существующие ядра ЦП с безопасным корнем доверия, работа разработчиков программного обеспечения была бы относительно легкой.
«В зависимости от приложения большая часть использования ядра безопасности будет осуществляться на уровне ОС и системы, а не на уровне приложения», — пояснил Левин. «Если вы правильно создадите свою ОС и системное программное обеспечение в целом, вы сможете использовать большую часть этих функций безопасности, и разработчикам приложений не придется об этом беспокоиться. Вы можете предоставить API для раскрытия некоторых основных функций безопасности, которые могут быть легко использованы разработчиком приложений, например, для шифрования и дешифрования данных».
Включив корень доверия в само оборудование и переложив бремя его реализации на операционные системы, разработчики программного обеспечения может быстро извлечь выгоду из дополнительной безопасности, которую он может обеспечить во всех аспектах вычислений, в том числе избежать ловушек Spectre и его и тому подобное.
Возможно, именно здесь такие компании, как Intel и AMD, до сих пор ошибались. Хотя их патчи, исправления микрокода и аппаратные настройки помогли смягчить некоторые проблемы атак, подобных Spectre, все они имеют свои собственные подводные камни. Производительность ухудшилась, и во многих случаях производители устройств не применяют дополнительные исправления, поскольку не хотят проигрывать в гонке мощностей.
Вместо этого Рамбус, Арм и другие стремятся полностью уклониться от этой проблемы.
«Мы не утверждаем, что исправляем Spectre или Meltdown, мы говорим, что, во-первых, эти эксплойты — не единственные существующие уязвимости», — сказал Левин. «Всегда будет больше. Сложность современных процессоров делает это неизбежным. Давайте изменим проблему и признаем, что в процессорах общего назначения и тому подобном будет больше уязвимостей. которые нас очень волнуют, например, ключи, учетные данные, данные, давайте вынесем их из ЦП и обойдем всю проблему».
Таким образом, пользователи могут быть уверены в безопасности своей системы, не жертвуя ничем. Корень доверия означает, что любые украденные данные никому не нужны. Он оставляет призрак Spectre в темном царстве избыточности, где он может продолжать преследовать тех, кто использует старое оборудование. Но по мере того, как люди будут переходить на новые, защищенные корнем аппаратные средства будущих поколений, это будет становиться все более неактуальным и вызывать гораздо меньше беспокойства.
Рекомендации редакции
- AMD наконец-то может превзойти Intel в номинации самого быстрого процессора для мобильных игр
- Чипы Intel по-прежнему уязвимы, а новый Ice Lake не исправит все
