Сећате се безбедносних експлоата Спецтре и Мелтдовн од прошле године? Интел и АМД се заиста надају да нећете. Упркос томе у шта желе да верујете, ови спекулативни експлоатације неће нестати, барем не са решењима која су до сада предложена.
Садржај
- Почевши од корена
- Сидестеппинг Спецтре
- Сигурност, али по коју цену?
- Велики, мали и сигурни
- Доносећи га масама
Уместо да покушавате да поправите сваку варијанту која се појави, трајна поправка ће захтевати фундаменталну промену начина на који су ЦПУ дизајнирани. Предлог? „Безбедно језгро“ које осигурава да ваши подаци остану безбедни од нападача, без обзира на грешке које би могли да искористе.
Препоручени видео снимци
Можда то није пут којим би ове велике компаније које се баве процесорима желеле да иду, али може бити једини који заиста функционише.
Повезан
- АМД-ова одбрана против Спецтре В2 може бити неадекватна
Почевши од корена
Када се лансира нова генерација процесора, прво питање на нечијим уснама је „колико је брз то?" Више мегахерца, више језгара, више кеша, све да би апликације радиле брже и игре радиле боље. Секундарни фактори могу бити потребе за снагом или топлотном снагом, али се ретко ко пита за безбедност.
Разумевање Спецтре и Мелтдовн
Проблем са тим је што су побољшања перформанси у последњих неколико година углавном била вођена спекулативно предвиђање, то је да процесори нагађају шта ћете следеће урадити и припремају све што можете потреба за тим. То је одлично за перформансе, али као што су Спецтре и његове варијанте показали, то је ужасно за безбедност.
“Спекулативно извршење већ дуже време представља функцију оптимизације перформанси ЦПУ-а“, рекао је за Дигитал Трендс Жан-Филип Тагарт, старији безбедносни истраживач Малваребитес-а. Објаснио је како управо та карактеристика чини Интел и друге процесоре рањивим на Спецтре и сличне нападе. „ЦПУ архитектури ће бити потребно озбиљно преиспитивање, да би се или задржала ова побољшања перформанси, али их заштитила од напада као што је Спецтре, или их потпуно уклонила“, рекао је он.
„Тешко је у безбедности ако сте увек реактивни, морате чекати на безбедносне пропусте и онда их поправљати“
Једно потенцијално решење је додавање новог комада хардвера будућим генерацијама ЦПУ-а. Уместо да се бавите осетљивим задацима (који чине такве нападе вредно труда) на језграма за обраду велике коњске снаге, шта ако произвођачи чипова комбинују та језгра са додатним језгром које је посебно дизајнирано са таквим задатака на уму? Сигурносно језгро.
То би могло учинити да Спецтре и његове варијанте нису проблем за нови хардвер. Не би било важно да су главна ЦПУ језгра сутрашњице рањива на такве нападе, јер та језгра више не би обрађивале приватне или безбедне информације.
Овај корен концепта поверења је више од грубог нацрта. У неким случајевима, то је већ одржив производ и све веће компаније за чипове попут Интела или АМД-а би морале да ураде да га искористе, јесте да га усвоје.
Сидестеппинг Спецтре
„Тешко је у безбедности ако сте увек реактивни, морате да чекате безбедносне рањивости, а затим их поправљате,“ Рамбусов виши директор управљања производима, Бен Левине, рекао је за Дигитал Трендс, када су га питали о текућој варијанти Спецтре претње. „Тај проблем покушаја да се сложени процесор учини сигурним је заиста тежи начин. Ту смо дошли до приступа премештању безбедносно критичне функционалности у одвојено језгро."
Иако није први који је предложио такву идеју, Рамбус ју је дорадио. Његово ЦриптоМанагер Роот оф Труст је засебно језгро које би се налазило на главном процесору, помало као концепт биг.литтле који се налази у многим мобилним процесорима, па чак и у Интеловим сопственим нови Лакефиелд дизајн. Међутим, тамо где ови чипови користе мања језгра за уштеду енергије, безбедно језгро поверења би се фокусирало на безбедност изнад свега.
Комбиновао би процесор без спекулативних аспеката главних ЦПУ-а, са акцелераторима за криптографију и сопственом безбедном меморијом. Био би то релативно једноставан дизајн у поређењу са монструозним ЦПУ-има опште намене који данас покрећу наше рачунаре, али би на тај начин био далеко безбеднији.
У заштити себе, безбедно језгро би тада могло да преузме најосетљивије задатке са којима би иначе ЦПУ језгро опште намене обично радило. Обезбеђивање кључева за шифровање, валидација банкарских трансакција, обрада покушаја пријављивања, чување приватних информација у безбедној меморији или провера записа о покретању нису оштећени током покретања.
„… Те операције се релативно споро изводе у софтверу, али безбедносно језгро може имати хардверске акцелераторе да то ураде много брже.“
Све ово може помоћи у побољшању опште безбедности система који га користи. Још боље, пошто би му недостајала спекулативна побољшања перформанси, био би потпуно сигуран од напада сличних Спецтре, што би их поништило. Такви напади би се и даље могли наметнути против главних језгара ЦПУ-а, али пошто не би обрадили никакве податке који би били вредни крађе, то не би било важно.
„Идеја није да се смисли један ЦПУ који може да уради све да буде веома брз и веома сигуран, већ хајде да оптимизујемо различита језгра одвојено за различите циљеве“, објаснио је Левин. „Хајде да оптимизујемо наш примарни ЦПУ за перформансе или мању снагу, шта год да је важно за тај систем, и оптимизујмо друго језгро ради безбедности. Сада имамо ова два одвојено оптимизована домена обраде и вршимо обраду у оном од њих који је најприкладнији с обзиром на карактеристике прорачуна и система на уму."
Такво језгро би функционисало помало као Т2 копроцесорски чип који је Аппле представио са својим иМац-ом, а касније имплементиран 2018.
Сигурност, али по коју цену?
Често се каже да је сложеност непријатељ безбедности. Зато је дизајн безбедног језгра који Рамбус предлаже релативно једноставан. То није велики, монструозни чип са више језгара и великом брзином такта као типични процесори који се налазе у десктоп рачунарима или лаптоп рачунари.
Дакле, да ли то значи да бисмо жртвовали перформансе ако би се такво језгро користило заједно са модерним чипом? Не нужно.
Оно што је важно узети кући из идеје безбедног језгра, било да је то Рамбусов ЦриптоМанагер Роот оф Труст, или сличан дизајн друге фирме, је да би обављао само задатке који су били фокусирани на приватност или сигурност. Не би вам требао да преузмете своје храњење графичка картица током сесије игре или подешавања слика у Пхотосхопу. Можда бисте више волели да он шифрује ваше поруке преко апликације за ћаскање. Ту би специјализовани хардвер могао имати неке предности изван сигурности.
„Ствари као што су криптографски алгоритми, шифровање или дешифровање из алгоритма као што је АЕС, или коришћење алгоритма јавног кључа као што је РСА или елиптични кривуља, те операције се релативно споро изводе у софтверу, али сигурносно језгро може имати хардверске акцелераторе који то раде много брже“, Левине рекао.
„Ми тежимо једноставности и ако нешто буде једноставно, останите малим. Ако је мали, то је мале снаге."
То је нешто са чим се Армов шеф ИоТ безбедности, Роб Кумбс, веома слаже.
„Обично ће се корен поверења изградити у крипто акцелератору, тако да је за то потребно мало више силицијума, али предност тога је да је веће перформансе за ствари као што су крипто функције, тако да се не ослањате само на процесор да би извршио редовно шифровање датотеке“, он рекао. „Процесор може да га подеси, а затим крипто машина може да прождире податке и да их шифрује или дешифрује. Добијате боље перформансе.”
Модерни процесори попут Интела имају сопствене крипто-акцелераторе, тако да можда није случај да шифровање или дешифровање би било суштински брже од ЦПУ опште намене који испуњава исти задатак, али би могло бити упоредиви.
Иако је Кумбс истакао у свом ћаскању са нама да би корену језгра поверења било потребно мало додатног силицијума за производњу, цена ако се то ради на другим важним факторима као што су цена производње, потрошња енергије чипа или његове топлотне снаге, углавном би недирнутим.
Рамбусов Бен Левин се сложио.
„Сигурносно језгро је само мало у поређењу са свим осталим“, рекао је он. „Заиста нема значајног утицаја на цену чипа, снагу или термичке захтеве. Можете учинити много у прилично малој логичкој области ако је пажљиво дизајнирате. Ми тежимо једноставности и ако нешто буде једноставно, останите малим. Ако је мали, то је мале снаге."
Његово једино упозорење било је да би у мањим уређајима мање снаге попут оних који се користе у ИоТ-у, Рамбусово безбедно језгро имало већи утицај на снагу и цену. Ту би могао доћи Армов модуларнији приступ.
Велики, мали и сигурни
Арм је био рани пионир идеје о велики.мали ЦПУ, или велика језгра и мала језгра у истом процесору. Данас је то уобичајена карактеристика и на мобилним уређајима компаније Куалцомм и Аппле. Види да се већа ЦПУ језгра користе за подизање терета када је то потребно, док мања језгра обављају уобичајене задатке како би уштедели енергију. Армов приступ се заснива на тој идеји да се изгради корен поверења у главне чипове, као и много мање микроконтролере за употребу у ширем спектру уређаја.
„Дефинисали смо нешто што се зове а ПСА (безбедносна архитектура платформе) корен поверења са неким уграђеним основним безбедносним функцијама као што су криптографија, безбедно покретање, безбедно складиштење; Ово ће требати сваком ИОТ уређају“, објаснио је Цообс за Дигитал Трендс.
Од свих главних произвођача чипова, Арм је вероватно најмање погођен Спецтреом и Мелтдовном. Тамо где је Интел био рањив на најшири опсег потенцијалних напада и АМД је морао да објави одређени број микрокодова и софтверска подешавања, Арм је успео да ојача своју већ робусну одбрану пре него што су спекулативне грешке у извршењу биле открио.
Сада Арм фокусира своје напоре на обезбеђивање интернета ствари. Цоомбс верује да је безбедно језгро, корен поверења један од најбољих начина да се то уради и жели да види да сваки ИоТ уређај имплементира такав систем. Да би то постигао, Арм нуди софтвер отвореног кода, развојне смернице и хардверска решења за безбедносне проблеме са којима се суочавају данашњи ИоТ програмери.
.. Много ће се користити безбедносно језгро на нивоу ОС и система, а не на нивоу апликације
„Направили смо опен соурце и референтну имплементацију, а сада са ПСА сертификованим креирали смо а безбедносна шема на више нивоа [где] људи могу да бирају безбедносну робусност која им је потребна“, рекао је Кумбс. „Различитим системима је потребна различита сигурност. Желимо да то прилагодимо простору ИоТ-а."
Примењујући ове принципе на веће ЦПУ опште намене који се налазе у лаптоповима и стоним рачунарима, крајњи резултат не би био драстично другачији. Иако такви чипови не би имали мала језгра поред великих, могли би да имплементирају безбедно језгро на матрици без превеликих потешкоћа, према Рамбусовом Бену Левину.
„Ова језгра би требало да буду и треба да буду много мања од једног од главних великих ЦПУ језгара које добијате у чипу од Интела или АМД-а“, рекао је он. „Неће бити седам плус један, већ ће бити процесор са осам или било који језгро и једно или можда више од једног, малог безбедносног језгра које обезбеђује безбедносне функције за сва друга језгра.
Оно што је најважније, таква језгра не би била ни компликована за имплементацију.
„Нећемо много додавати циклусу дизајна чипа увођења новог чипа у потрошачки производ“, рекао је он. „Наш утицај ће бити прилично минималан. То ће бити само нормалан животни циклус производа увођења развоја архитектуре чипа у производњу, а затим у испоруку производа."
Доносећи га масама
Сигурност може бити проблем кокошке и јаја, при чему програмери не желе да је имплементирају без посебне потребе или захтева купаца. Али ако би произвођачи хардвера комбиновали своја постојећа ЦПУ језгра са сигурним кореном поверења, посао програмера софтвера би био релативно лак.
„У зависности од апликације, много ће се користити безбедносно језгро на нивоу ОС и система, а не на нивоу апликације“, објаснио је Левин. „Ако правилно градите свој ОС и целокупни системски софтвер, можете да користите већину те безбедносне функционалности, а да програмери апликација не морају да брину о томе. Можете да обезбедите АПИ-је да бисте открили неке од основних функција безбедности које би програмер апликације лако могао да искористи, као што је шифровање и дешифровање података.“
Уграђивањем корена поверења у сам хардвер и препуштањем терета његове имплементације оперативним системима, програмери софтвера могао би брзо да има користи од додатне сигурности коју би могао да донесе у све аспекте рачунарства, укључујући избегавање замки Спецтре и његових илк.
Ово би могло бити место где су компаније попут Интела и АМД-а до сада грешиле. Иако су њихове закрпе, поправке микрокодова и подешавања хардвера помогли да се ублаже неки проблеми напада сличних Спецтре, сви они имају своје замке. Перформансе су смањене и у многим случајевима произвођачи уређаја не примењују опционе закрпе јер не желе да изгубе трку у наоружању.
Уместо тога, Рамбус, Арм и други покушавају да у потпуности избегну проблем.
„Не тврдимо да поправљамо Спецтре или Мелтдовн, оно што кажемо је прво да ови експлоати нису једине рањивости“, рекао је Левин. „Увек ће бити више. Сложеност савремених процесора чини то неизбежним. Хајде да променимо проблем и прихватимо да ће бити више рањивости у ЦПУ-има опште намене и стварима до којих нам је много стало, попут кључева, акредитива, података, хајде да их изместимо из ЦПУ-а и заобиђимо цео проблем.”
На овај начин, корисници могу да верују да је њихов систем сигуран без потребе да било шта жртвују. Корен хардвера поверења значи да су сви подаци који су украдени бескорисни никоме. Оставља дух Спецтре у мрачном царству сувишности, где може да настави да прогања оне који користе стари хардвер. Али како се људи надограђују на нове генерације хардвера са поверењем, то би постајало све ирелевантније и далеко мање забрињавајуће.
Препоруке уредника
- АМД би коначно могао да победи Интел за најбржи ЦПУ за мобилне игре
- Интелови чипови су и даље рањиви, а нови Ице Лаке неће закрпити све
