還記得去年的Spectre和Meltdown的安全漏洞嗎,?英特爾和AMD真的不希望這樣。他們希望你理解,,這些投機的執(zhí)行漏洞不會消失,,至少目前為止還沒有提出解決方案,。
永久性的修復將需要對CPU的設(shè)計方式進行根本性地更改,,而不是嘗試修復隨附的每個變體,。這個提議-一個“安全核心”,確保您的數(shù)據(jù)不會受到攻擊者的攻擊,,無論他們試圖利用什么漏洞,。
這可能不是這些大型處理器公司想要走的路線,但它可能是唯一一條能夠?qū)崿F(xiàn)的路線,。
從根開始
當新一代處理器推出時,,每個人都會問的第一個問題是,“它有多快,?”“更多的兆赫,、更多的核心、更多的緩存,,所有這些都可以使應用程序運行更快,,游戲性能更好。第二個考慮因素可能是電力需求或熱輸出,,但很少有人問安全性,。
問題在于,過去幾年的性能提升主要是由推測預測推動的,,即CPU會猜測你下一步要做什么,,并準備好你可能需要的一切。這對于性能來說非常好,,但正如Spectre及其變體所示,,對于安全性來說非常糟糕。
Malwarebytes高級安全研究公司Jean-Philippe Taggart告訴Digital Trends,,“投機執(zhí)行已經(jīng)成為CPU性能優(yōu)化的一個長期特征,。”他解釋道,,正是這個特性使得英特爾和其他公司的CPU容易受到幽靈和類似攻擊,。他說:“CPU架構(gòu)需要重新考量,要么保留這些性能并增強它們,,要么保護它們免受幽靈之類的攻擊,,要么完全消除它們,。”
一個潛在的解決方案是為下一代CPU添加新的硬件,。與處理高馬力處理核心上的敏感任務不同,,如果芯片制造商將這些核心與一個專門為此類任務設(shè)計的額外核心結(jié)合在一起會怎么樣?
這樣做可能會使Spectre及其變體成為新硬件的問題,。明天的主要CPU核心是否容易受到此類攻擊并不重要,,因為這些核心不再處理私有或安全信息。
信任的根源不僅僅是一個粗略的輪廓,。在某些情況下,,它已經(jīng)是一個可行的產(chǎn)品,所有像英特爾或AMD這樣的主要芯片公司都需要利用它,,就是采用它,。
回避幽靈
Rambus產(chǎn)品管理高級總監(jiān)Ben Levine在被問及持續(xù)的幽靈變種威脅時告訴Digital Trends:“如果你總是被動的,必須等待安全漏洞,,然后再修復它們,,那么在安全方面就很困難了?!薄霸噲D使復雜處理器安全的問題確實是一個困難的方法,。這就是我們提出的將安全關(guān)鍵功能移動到單獨核心的方法?!?/p>
Rambus產(chǎn)品管理高級總監(jiān)Ben Levine
雖然不是第一個提出這樣一個想法的人,,但Rambus已經(jīng)對它進行了改進。它的CryptoManager Root of Trust是一個獨立的核心,,可以放在一個主要的CPU芯片上,,有點像許多移動處理器中的big.little概念,甚至是英特爾自己的新Lakefield設(shè)計,。但是,,如果這些芯片使用較小的內(nèi)核來節(jié)省能源,那么安全的核心信任根將首先關(guān)注安全性,。
它可以將處理器與加密加速器以及自己的安全內(nèi)存結(jié)合起來,,而不需要考慮主要CPU的某些方面。這將是一個相對簡單的設(shè)計,,相比于今天運行我們的計算機的可怕的通用CPU,,但這樣做會更安全。
在保護自身的過程中,,安全核心可以承擔最敏感的任務,,而一般用途的CPU核心通常會處理這些任務。安全加密密鑰、驗證銀行事務,、處理登錄嘗試,、在安全內(nèi)存中存儲私有信息或檢查啟動記錄在啟動期間未損壞。
所有這些都有助于提高使用它的系統(tǒng)的總體安全性,。更好的是,,由于它將缺乏推測性的性能增強,它將完全安全地抵御類似幽靈的攻擊,,使它們失效,。這些攻擊仍然可以對主CPU核心進行攻擊,但由于它們不會處理任何值得竊取的數(shù)據(jù),,因此無關(guān)緊要,。
“我們的想法不是設(shè)計出一個做每件事都非常快速和安全的CPU,,而是可以讓我們針對不同的目標分別優(yōu)化不同的內(nèi)核,?!?Levine解釋說,。“讓我們優(yōu)化我們的主CPU以獲得性能或更低的功耗,,無論對于該系統(tǒng)重要的是什么,,優(yōu)化另一個核心以實現(xiàn)安全性是必要的。現(xiàn)在,,我們有了這兩個單獨優(yōu)化的處理域,,并且考慮到計算和系統(tǒng)的特點,在其中任何一個域中進行處理都是最合適的,?!?/p>
這樣的核心操作起來有點像蘋果在iMac上推出的t2協(xié)處理器芯片,后來在2018年實施,。
安全,,但成本是多少?
人們常說復雜性是安全的敵人,。這就是Rambus提出的安全核心設(shè)計相對簡單的原因,。并不像臺式機或筆記本電腦中的典型CPU那樣,是一個具有多核和高時鐘速度的大而可怕的芯片,。
那么,,這是否意味著如果將這樣的核心與現(xiàn)代芯片一起使用,我們會犧牲性能,?不一定,。
從安全核心的概念來看,無論是Rambus的CryptoManager信任根,,還是來自另一家公司的類似設(shè)計,,重要的是它只會執(zhí)行專注于隱私或安全的任務,。您不需要它在游戲過程中接管圖形卡,或在Photoshop中調(diào)整圖像,。您可能更喜歡它來處理通過聊天應用加密您的消息,。這就是專用硬件可以在安全性之外獲得一些好處的地方。
Levine說:“加密算法,、加密或解密算法(如AES)或使用公鑰算法(如RSA或橢圓曲線)等,,這些操作在軟件中的執(zhí)行速度相對較慢,但安全核心可以有硬件加速器來更快地執(zhí)行這些操作,?!?/p>
這是Arm的物聯(lián)網(wǎng)安全負責人,Rob Coombs非常贊同,。
“通常信任的根源將構(gòu)建在加密加速器中,,因此需要更多的芯片,但其好處在于,,它對加密函數(shù)等功能具有更高的性能,,因此您不需要僅僅依靠處理器來執(zhí)行文件的常規(guī)加密?!彼f,。“處理器可以設(shè)置它,,然后加密引擎可以咀嚼數(shù)據(jù)并對其進行加密或解密,。你將獲得更高的性能?!?/p>
像英特爾這樣的現(xiàn)代處理器確實有自己的加密加速器,,因此,在這種情況下,,加密或解密從根本上來說可能不會比通用CPU完成相同任務更快,,但這是可以比較的。
Rob Coombs,,ARM物聯(lián)網(wǎng)安全主管
盡管Coombs在他與我們的談話中強調(diào),,信任核心的根源需要一些額外的硅片來生產(chǎn),但是這樣做的成本,,諸如制造價格,、芯片的功率消耗或熱輸出等其他重要因素,基本上不會受到影響,。
Rambus的Ben Levine同意了,。
“與其他一切相比,安全核心很小,”他說,?!皩π酒β驶蛏嵋蟮某杀敬_實沒有顯著影響,。如果你仔細設(shè)計的話,,你可以在一個非常小的邏輯區(qū)域做很多事情。我們的目標是簡單,,如果你保持簡單,,你就保持小。如果它很小,,那就是低功耗,。”
他唯一需要注意的是,,在像物聯(lián)網(wǎng)中使用的更小,,更低功耗的設(shè)備中,Rambus的安全核心將對功率和成本產(chǎn)生更大的影響,。這就是ARM更模塊化的方法可能出現(xiàn)的地方,。
大,小,,安全
ARM是在同一個處理器中使用大CPU,、小CPU或大內(nèi)核和小內(nèi)核的早期先驅(qū)。今天,,它也是高通公司和蘋果公司移動設(shè)備中的一個常見功能。當需要時,,它可以看到用于重載提升的較大CPU內(nèi)核,,而較小的內(nèi)核可以處理更常見的任務,從而節(jié)省電力,。ARM的方法基于這樣一個思想,,即在主芯片中建立信任的基礎(chǔ),以及在更廣泛的設(shè)備陣列中使用的更小的微控制器,。
Coobs向Digital Trends解釋說:“我們定義了一個叫做psa(平臺安全架構(gòu))的信任根,,其中包含一些基本的安全功能,如加密,、安全引導,、安全存儲;每個物聯(lián)網(wǎng)設(shè)備都需要這些功能,。
在所有主要的芯片制造商中,,Arm可能是受幽靈和崩潰影響最小的。英特爾最容易遭受最廣泛的潛在攻擊,AMD不得不發(fā)布大量的微碼和軟件調(diào)整,,在證實投機性執(zhí)行錯誤之前,,Arm能夠支撐其已經(jīng)強大的防御措施。
現(xiàn)在,,Arm正致力于保護物聯(lián)網(wǎng),。Coombs認為,一個安全的核心,,信任的根源是最好的方法之一,,他希望看到每個物聯(lián)網(wǎng)設(shè)備都實現(xiàn)這樣的系統(tǒng)。為了實現(xiàn)這一目標,,Arm針對當今物聯(lián)網(wǎng)開發(fā)人員面臨的安全問題提供了開源軟件,,開發(fā)指南和硬件解決方案。
“我們已經(jīng)創(chuàng)建了一個開源和參考實現(xiàn),,現(xiàn)在通過PSA認證,,我們已經(jīng)創(chuàng)建了一個多級安全方案,人們可以在該方案中選擇他們需要的安全穩(wěn)健性,?!盋oombs說?!安煌南到y(tǒng)需要不同的安全性,。我們希望使其適合物聯(lián)網(wǎng)領(lǐng)域?!?/p>
將這些原則應用于筆記本電腦和臺式機中的大型通用CPU,,最終結(jié)果不會有太大差異。根據(jù)Rambus的Ben Levine的說法,,雖然這種芯片不會在大芯片旁邊有小的核心,,但它們可以在芯片上實現(xiàn)安全的核心,而不會有太大的困難,。
他說:“這些核心應該并且需要比英特爾或AMD芯片中的主要大CPU核心小得多,。”它不是7加1,,而是8或任何核心處理器,,以及一個或多個小型安全核心,為所有其他核心提供安全功能,。
至關(guān)重要的是,,這樣的核心實現(xiàn)起來甚至不復雜。
Julian Chokkattu /數(shù)字趨勢
“我們不會在將新芯片納入消費產(chǎn)品的芯片設(shè)計周期中增加太多,,”他說,?!拔覀兊挠绊憣浅P _@將是一個正常的產(chǎn)品生命周期,,即將芯片架構(gòu)開發(fā)投入生產(chǎn),,然后再投入到運輸產(chǎn)品中?!?/p>
把它帶給大眾
安全性可能是一個雞毛蒜皮的問題,,開發(fā)人員不希望在沒有客戶特定需求或要求的情況下實施它。但是,,如果硬件制造商將他們現(xiàn)有的CPU核心與安全的核心信任根相結(jié)合,,那么軟件開發(fā)人員的工作就相對容易了。
“根據(jù)應用程序的不同,,安全核心的大量使用將在操作系統(tǒng)和系統(tǒng)級別完成,,而不是在應用程序級別,”Levine解釋說,?!叭绻跇?gòu)建您的操作系統(tǒng)和整個系統(tǒng)軟件,那么您可以利用大部分安全功能,,而無需應用程序開發(fā)人員擔心,。您可以提供API來公開應用程序開發(fā)人員可以輕松使用的一些安全核心功能,如加密和解密數(shù)據(jù),?!?/p>
英特爾
通過將信任的根源整合到硬件本身中,并將實現(xiàn)信任的責任留給操作系統(tǒng),,軟件開發(fā)人員可以迅速從增加的安全性中獲益,,這些安全性可以應用到計算的各個方面,包括避免幽靈及其同類的陷阱,。
這可能是像英特爾和AMD這樣的公司到目前為止出現(xiàn)問題的地方,。盡管它們的補丁、微碼修復和硬件調(diào)整幫助緩解了一些類似幽靈的攻擊問題,,但它們都有自己的陷阱。性能已經(jīng)降低,,在許多情況下,,設(shè)備制造商不應用可選補丁,因為他們不想輸?shù)魟恿妭涓傎悺?br/>相反,,Rambus,,Arm和其他人正在尋求完全避開這個問題。
“我們并不是在宣稱我們正在修復幽靈或熔化,,我們所說的首先是這些漏洞不是唯一的漏洞,,”萊文說,。“總會有更多?,F(xiàn)代處理器的復雜性使其不可避免,。讓我們改變問題,讓我們接受通用CPU中存在更多漏洞以及我們非常關(guān)心的事情,,比如密鑰,,憑據(jù),數(shù)據(jù),,讓它從CPU中移出,,讓我們繞過整個問題?!?/p>
這樣,,用戶可以相信他們的系統(tǒng)是安全的,而不必犧牲任何東西,。信任硬件的根意味著任何被盜的數(shù)據(jù)對任何人都是無用的,。它將幽靈的鬼魂留在冗余的陰暗境界,在那里它可以繼續(xù)困擾那些使用舊硬件的人,。但是,,隨著人們升級到新的,信任裝備的未來幾代硬件的根源,,它將變得越來越無關(guān)緊要而且不那么令人擔憂,。