Spomínate si na bezpečnostné exploity Spectre a Meltdown z minulého roka? Intel a AMD naozaj dúfajú, že nie. Napriek tomu, čomu chcú, aby ste verili, tieto špekulatívne popravy nezmiznú, aspoň nie s doteraz navrhnutými riešeniami.
Obsah
- Počnúc od koreňa
- Strašidlo vedľa
- Bezpečnosť, ale za akú cenu?
- Veľký, malý a bezpečný
- Priniesť to masám
Namiesto snahy o opravu každého variantu, ktorý príde, trvalá oprava bude vyžadovať zásadnú zmenu v tom, ako sú navrhnuté CPU. Návrh? „Bezpečné jadro“, ktoré zaisťuje, že vaše údaje zostanú v bezpečí pred útočníkmi bez ohľadu na to, aké chyby sa môžu pokúsiť zneužiť.
Odporúčané videá
Možno to nie je cesta, ktorou sa chcú tieto veľké spracovateľské spoločnosti vydať, ale môže to byť jediná cesta, ktorá skutočne funguje.
Súvisiace
- Obrana AMD proti Spectre V2 môže byť nedostatočná
Počnúc od koreňa
Keď je uvedená na trh nová generácia procesorov, prvá otázka na perách každého znie: „aký rýchly je to?" Viac megahertzov, viac jadier, viac vyrovnávacej pamäte, to všetko preto, aby aplikácie bežali rýchlejšie a hry fungovali lepšie. Sekundárnymi faktormi môžu byť požiadavky na energiu alebo tepelný výkon, ale len zriedka sa niekto pýta na bezpečnosť.
Pochopenie Spectre a Meltdown
Problém je v tom, že vylepšenia výkonu v posledných rokoch boli väčšinou spôsobené špekulatívna predpoveď, to znamená, že CPU odhadujú, čo budete robiť ďalej, a pripravujú všetko, čo môžete treba to. To je skvelé pre výkon, ale ako ukázali Spectre a jeho varianty, je to hrozné pre bezpečnosť.
“Špekulatívne prevedenie je už dlho funkciou optimalizácie výkonu CPU,“ povedal Jean-Philippe Taggart pre Digital Trends, senior bezpečnostný výskum Malwarebytes. Vysvetlil, ako je to práve táto funkcia, ktorá robí procesory Intel a ďalších procesorov zraniteľnými voči Spectre a podobným útokom. „Architektúra CPU bude potrebovať seriózne prehodnotenie, aby sa tieto vylepšenia výkonu buď zachovali, ale chránili pred útokmi, ako je napríklad Spectre, alebo ich úplne zrušili,“ povedal.
"Je to ťažké v oblasti bezpečnosti, ak ste vždy reaktívni, musíte čakať na chyby zabezpečenia a potom ich opravovať"
Jedným z možných riešení je pridanie nového hardvéru do budúcich generácií CPU. Namiesto spracovania citlivých úloh (ktoré takéto útoky robia čo sa oplatí na procesorových jadrách s vysokým výkonom, čo keby výrobcovia čipov skombinovali tieto jadrá s dodatočným jadrom, ktoré je špeciálne navrhnuté s úlohy na mysli? Bezpečnostné jadro.
Ak tak urobíte, Spectre a jeho varianty nebudú pre nový hardvér problém. Nezáležalo by na tom, či by hlavné jadrá CPU zajtrajška boli zraniteľné voči takýmto útokom, pretože tieto jadrá už nebudú spracovávať súkromné alebo zabezpečené informácie.
Tento koncept koreňa dôvery je viac než len hrubý náčrt. V niektorých prípadoch je to už životaschopný produkt a všetky veľké čipové spoločnosti ako Intel alebo AMD by museli urobiť, aby ho využili, je prijať ho.
Strašidlo vedľa
"Je to ťažké v oblasti bezpečnosti, ak ste vždy reaktívni, musíte čakať na chyby zabezpečenia a potom ich opravovať," Ben Levine, hlavný riaditeľ produktového manažmentu spoločnosti Rambus, povedal pre Digital Trends, keď sa ho pýtali na prebiehajúci variant Spectre vyhrážky. „Problém pri pokuse o zabezpečenie komplexného procesora je naozaj ťažká cesta. To je miesto, kde sme prišli s prístupom presunutia funkcií kritických pre bezpečnosť do samostatného jadra.“
Hoci nie je prvým, kto takýto nápad navrhol, Rambus ho zdokonalil. Jeho Koreň dôvery CryptoManager je samostatné jadro, ktoré by sedelo na hlavnom procesore, trochu ako koncept big.little, ktorý sa nachádza v mnohých mobilných procesoroch a dokonca aj vo vlastných procesoroch Intel nový dizajn Lakefield. Ak však tieto čipy používajú menšie jadrá na úsporu energie, bezpečný základný koreň dôvery by sa zameral predovšetkým na bezpečnosť.
Kombinoval by procesor bez špekulačných aspektov hlavných CPU, s akcelerátormi pre kryptografiu a vlastnou bezpečnou pamäťou. Bol by to relatívne jednoduchý dizajn v porovnaní s monštruóznymi univerzálnymi CPU, na ktorých dnes bežia naše počítače, ale bolo by to oveľa bezpečnejšie.
Pri svojej ochrane by potom bezpečné jadro mohlo prevziať najcitlivejšie úlohy, ktoré by inak bežné jadro CPU zvyčajne zvládlo. Zabezpečenie šifrovacích kľúčov, overovanie bankových transakcií, spracovanie pokusov o prihlásenie, ukladanie súkromných informácií do zabezpečenej pamäte alebo kontrola zavádzacích záznamov neboli počas spúšťania poškodené.
"... Tieto operácie sú v softvéri relatívne pomalé, ale bezpečnostné jadro môže mať hardvérové akcelerátory, ktoré to urobia oveľa rýchlejšie."
To všetko by mohlo pomôcť zlepšiť všeobecnú bezpečnosť systému, ktorý to využíval. A čo je ešte lepšie, keďže by mu chýbali špekulatívne vylepšenia výkonu, bol by úplne bezpečný proti útokom podobným Spectre, ktoré by ich znehodnotili. Takéto útoky by stále mohli byť uvalené na hlavné jadrá CPU, ale keďže by nespracovali žiadne údaje, ktoré by sa oplatili ukradnúť, na tom by nezáležalo.
„Myšlienkou nie je prísť s jedným procesorom, ktorý dokáže urobiť všetko, aby bol veľmi rýchly a veľmi bezpečný, ale poďme optimalizovať rôzne jadrá oddelene pre rôzne ciele,“ vysvetlil Levine. „Optimalizujme náš primárny CPU na výkon alebo nižší výkon, čokoľvek je pre tento systém dôležité, a optimalizujme ďalšie jadro pre zabezpečenie. Teraz máme tieto dve samostatne optimalizované domény spracovania a robíme spracovanie podľa toho, ktorá z nich je najvhodnejšia vzhľadom na charakteristiku výpočtu a systému.“
Takéto jadro by fungovalo trochu ako koprocesorový čip T2, ktorý Apple predstavil so svojím iMacom a neskôr implementoval v roku 2018.
Bezpečnosť, ale za akú cenu?
Často sa hovorí, že zložitosť je nepriateľom bezpečnosti. Preto je dizajn bezpečného jadra, ktorý Rambus navrhuje, relatívne jednoduchý. Nie je to veľký, monštruózny čip s viacerými jadrami a vysokou rýchlosťou hodín, ako sú typické procesory, ktoré nájdeme v desktopoch alebo notebooky.
Znamená to teda, že by sme obetovali výkon, ak by sa takéto jadro malo používať spolu s moderným čipom? Nie nevyhnutne.
Dôležité je vziať si domov z myšlienky bezpečného jadra, či už to bol Rambus’ CryptoManager Root of Trust, alebo podobný dizajn od inej firmy, je, že by vykonával iba úlohy, ktoré boli zamerané na súkromie resp bezpečnosť. Nepotrebovali by ste ho, aby prevzal kŕmenie grafická karta počas hry alebo ladenia obrázkov vo Photoshope. Možno by ste uprednostnili šifrovanie správ cez chatovaciu aplikáciu. To je miesto, kde by špecializovaný hardvér mohol mať niektoré výhody nad rámec zabezpečenia.
„Veci ako kryptografické algoritmy, šifrovanie alebo dešifrovanie z algoritmu, ako je AES, alebo používanie algoritmu verejného kľúča, ako je RSA alebo eliptický Tieto operácie sú v softvéri relatívne pomalé, ale bezpečnostné jadro môže mať hardvérové akcelerátory, ktoré to urobia oveľa rýchlejšie,“ Levine povedal.
„Fotíme pre jednoduchosť a ak niečo robíte jednoducho, držte to malé. Ak je malý, má nízky výkon."
To je niečo, s čím Armov šéf bezpečnosti internetu vecí Rob Coombs veľmi súhlasí.
„Koreň trustov sa zvyčajne zabuduje do kryptoakcelerátora, takže to vyžaduje trochu viac kremíka, ale výhodou je, že vyšší výkon pre veci, ako sú kryptografické funkcie, takže sa nespoliehate len na procesor, ktorý vykoná pravidelné šifrovanie súboru,“ povedal povedal. „Procesor to môže nastaviť a potom môže kryptografický modul prehrýzť dáta a zašifrovať alebo dešifrovať. Získate vyšší výkon."
Moderné procesory od Intelu majú svoje vlastné kryptografické akcelerátory, takže sa nemusí stať, že šifrovanie alebo dešifrovanie by bolo zásadne rýchlejšie ako univerzálny CPU vykonávajúci rovnakú úlohu, ale môže byť porovnateľné.
Hoci Coombs vo svojom rozhovore s nami zdôraznil, že jadro dôvery by si vyžadovalo trochu extra kremíka na výrobu, náklady na pri iných dôležitých faktoroch, ako je cena výroby, spotreba energie čipu alebo jeho tepelné výkony, by boli väčšinou neovplyvnené.
Ben Levine z Rambusu súhlasil.
"Bezpečnostné jadro je len malé v porovnaní so všetkým ostatným," povedal. "V skutočnosti to nemá žiadny významný vplyv na náklady na čip, napájanie alebo tepelné požiadavky. Môžete urobiť veľa v dosť malej logickej oblasti, ak ju starostlivo navrhnete. Fotíme pre jednoduchosť, a ak máte niečo jednoduché, držte to malé. Ak je malý, má nízky výkon."
Jeho jedinou výhradou bolo, že v menších zariadeniach s nižším výkonom, ako sú tie, ktoré sa používajú v IoT, bude mať zabezpečené jadro Rambus väčší vplyv na výkon a náklady. To je miesto, kde by mohol prísť modulárnejší prístup spoločnosti Arm.
Veľký, malý a bezpečný
Arm bol prvým priekopníkom myšlienky veľký.malý CPU alebo veľké jadrá a malé jadrá v rovnakom procesore. Dnes je to bežná funkcia aj v mobilných zariadeniach od Qualcommu a Apple. Vidí väčšie jadrá CPU používané na ťažké zdvíhanie podľa potreby, zatiaľ čo menšie jadrá zvládajú bežnejšie úlohy, aby šetrili energiu. Prístup spoločnosti Arm stavia na tejto myšlienke vybudovať koreň dôvery do hlavných čipov, ako aj do oveľa menších mikrokontrolérov na použitie v širšom rade zariadení.
„Definovali sme niečo, čo sa nazýva a PSA (platformová bezpečnostná architektúra) koreň dôvery so zabudovanými niektorými základnými bezpečnostnými funkciami, ako je kryptografia, bezpečné spustenie, bezpečné ukladanie; Bude ich potrebovať každé IOT zariadenie,“ vysvetlil Coobs pre Digital Trends.
Zo všetkých hlavných výrobcov čipov bol Arm pravdepodobne najmenej ovplyvnený Spectre a Meltdown. Tam, kde bol Intel zraniteľný voči najširšiemu množstvu potenciálnych útokov a AMD muselo vydať množstvo mikrokódov a softvérové vylepšenia, Arm bol schopný podporiť svoju už aj tak robustnú obranu skôr, ako sa objavili špekulatívne chyby pri vykonávaní odhalené.
Teraz Arm zameriava svoje úsilie na zabezpečenie internetu vecí. Coombs verí, že bezpečné jadro, koreň dôvery, je jedným z najlepších spôsobov, ako to dosiahnuť, a chce, aby každé zariadenie internetu vecí implementovalo takýto systém. Na dosiahnutie tohto cieľa Arm ponúka softvér s otvoreným zdrojovým kódom, vývojové poradenstvo a hardvérové riešenia pre bezpečnostné problémy, ktorým čelia dnešní vývojári internetu vecí.
.. Bezpečnostné jadro sa bude vo veľkej miere využívať na úrovni operačného systému a systému a nie na úrovni aplikácie
„Vytvorili sme open source a referenčnú implementáciu a teraz s certifikáciou PSA sme vytvorili a viacúrovňová bezpečnostná schéma [kde] si ľudia môžu vybrať robustnosť zabezpečenia, ktorú potrebujú,“ povedal Coombs. „Rôzne systémy vyžadujú rôzne úrovne zabezpečenia. Chceme to prispôsobiť priestoru internetu vecí.“
Aplikovaním týchto princípov na väčšie, univerzálne CPU, ktoré sa nachádzajú v notebookoch a stolných počítačoch, by sa konečný výsledok výrazne nelíšil. Aj keď by takéto čipy nemali popri svojich veľkých jadrách malé jadrá, podľa Ben Levinea z Rambusu by mohli bez väčších problémov implementovať bezpečné jadro.
„Tieto jadrá by mali byť a musia byť oveľa menšie ako jedno z hlavných veľkých CPU jadier, ktoré získate v čipe od Intelu alebo AMD,“ povedal. "Nebude to sedem plus jedna, bude to osem alebo čokoľvek iné jadro procesora a jedno alebo možno viac ako jedno malé bezpečnostné jadro, ktoré poskytuje bezpečnostné funkcie pre všetky ostatné jadrá."
Rozhodujúce je, že implementácia takýchto jadier by ani nebola komplikovaná.
"Nepridáme veľa do cyklu návrhu čipu, ktorým je dostať nový čip do spotrebiteľského produktu," povedal. "Náš vplyv bude dosť minimálny. Bude to len normálny životný cyklus produktu, kedy sa vývoj čipovej architektúry dostane do výroby a potom do expedície produktov.“
Priniesť to masám
Bezpečnosť môže byť problémom sliepky a vajca, pričom vývojári ju nechcú implementovať bez špecifickej potreby alebo dopytu zo strany zákazníkov. Ak by však výrobcovia hardvéru skombinovali svoje existujúce jadrá CPU s bezpečným jadrom dôvery, práca vývojárov softvéru by bola relatívne jednoduchá.
„V závislosti od aplikácie sa bezpečnostné jadro vo veľkej miere využije na úrovni operačného systému a systému a nie na úrovni aplikácie,“ vysvetlil Levine. „Ak svoj operačný systém a váš celkový systémový softvér vytvárate správne, môžete využiť väčšinu bezpečnostných funkcií bez toho, aby sa o to museli starať vývojári aplikácií. Môžete poskytnúť rozhrania API na odhalenie niektorých základných funkcií zabezpečenia, ktoré môže vývojár aplikácie ľahko využiť, ako je napríklad šifrovanie a dešifrovanie údajov.
Začlenením koreňa dôvery do samotného hardvéru a ponechaním bremena na jeho implementáciu na operačné systémy, vývojári softvéru mohli rýchlo ťažiť z pridanej bezpečnosti, ktorú by to mohlo priniesť do všetkých aspektov výpočtovej techniky, vrátane vyhýbania sa nástrahám Spectre a jeho podobne.
To by mohlo byť miesto, kde spoločnosti ako Intel a AMD doteraz robili chybu. Zatiaľ čo ich záplaty, opravy mikrokódu a vylepšenia hardvéru pomohli zmierniť niektoré problémy útokov podobných Spectre, všetky majú svoje vlastné úskalia. Výkon sa znížil a výrobcovia zariadení v mnohých prípadoch nepoužili voliteľné opravy, pretože nechcú prehrať preteky v zbrojení.
Namiesto toho sa Rambus, Arm a ďalší snažia tomuto problému úplne vyhnúť.
"Netvrdíme, že opravujeme Spectre alebo Meltdown, hovoríme predovšetkým, že tieto exploity nie sú jedinými zraniteľnosťami," povedal Levine. "Vždy bude viac. Zložitosť moderných procesorov to robí nevyhnutným. Zmeňme problém a akceptujme, že vo všeobecných CPU a veciach bude viac zraniteľností na ktorých nám veľmi záleží, ako sú kľúče, poverenia, údaje, presuňte ich z CPU a obíďte celý problém.“
Používatelia sa tak môžu spoľahnúť, že ich systém je bezpečný, bez toho, aby museli čokoľvek obetovať. Koreň hardvéru dôvery znamená, že akékoľvek ukradnuté údaje sú pre nikoho zbytočné. Necháva ducha Spectre v temnej ríši redundancie, kde môže naďalej prenasledovať tých, ktorí používajú starý hardvér. Ale ako ľudia inovujú na nové, koreňom dôveryhodne vybavené budúce generácie hardvéru, bude to čoraz viac irelevantné a bude to oveľa menej znepokojujúce.
Odporúčania redaktorov
- AMD možno konečne porazí Intel v kategórii najrýchlejší mobilný herný procesor
- Čipy Intelu sú stále zraniteľné a nový Ice Lake neopraví všetko