Si Eric Biggers, usa sa mga nag-develop sa Adiantum cipher ug usa ka tigmentinar sa Linux kernel fscrypt subsystem, nagsugyot og usa ka hugpong sa mga patch aron babagan ang mga problema sa seguridad nga mitumaw gikan sa usa ka feature sa Intel processors nga dili makagarantiya sa kanunay nga mga oras sa pagpatuman alang sa lain-laing naproseso nga datos. Ang problema makita sa mga processor sa Intel sugod sa pamilya sa Ice Lake. Ang usa ka susama nga problema naobserbahan sa mga processor sa ARM.
Ang presensya sa pagsalig sa oras sa pagpatuman sa mga panudlo sa datos nga giproseso sa kini nga mga panudlo giisip sa tagsulat sa mga patch nga usa ka kahuyang sa mga processor, tungod kay ang ingon nga pamatasan dili makagarantiya sa seguridad sa mga operasyon sa cryptographic nga gihimo sa sistema. Daghang mga pagpatuman sa cryptographic algorithms gidisenyo aron masiguro nga ang datos dili makaapekto sa oras sa pagpatuman sa mga instruksyon, ug ang paglapas niini nga kinaiya mahimong mosangpot sa paghimo sa mga pag-atake sa kilid nga channel nga makabawi sa datos base sa pag-analisar sa oras sa pagproseso niini.
Posible, ang pagdepende sa datos sa runtime mahimo usab nga magamit sa paglansad sa mga pag-atake aron mahibal-an ang data sa kernel gikan sa wanang sa gumagamit. Sumala sa Eric Biggers, ang kanunay nga oras sa pagpatuman wala gihatag pinaagi sa default bisan alang sa mga panudlo nga naghimo sa pagdugang ug mga operasyon sa XOR, ingon man alang sa espesyal nga mga panudlo sa AES-NI (ang impormasyon nga wala gikumpirma sa mga pagsulay, sumala sa ubang mga datos, adunay paglangan sa usa cycle atol sa pagpadaghan sa vector ug pag-ihap sa bit).
Aron ma-disable kini nga pamatasan, ang Intel ug ARM nagsugyot og bag-ong mga bandila: PSTATE bit DIT (Data Independent Timing) para sa ARM CPUs ug MSR bit DOITM (Data Operand Independent Timing Mode) para sa Intel CPUs, nga nagbalik sa daan nga kinaiya nga adunay kanunay nga oras sa pagpatuman. Girekomenda sa Intel ug ARM ang pag-enable sa proteksyon kung gikinahanglan alang sa kritikal nga code, apan sa tinuud, ang kritikal nga pagkalkula mahimong mahitabo bisan asa sa kernel ug user space, mao nga among gikonsiderar ang pagpagana sa DOITM ug DIT modes alang sa tibuok kernel sa tanang panahon.
Alang sa mga processor sa ARM, ang sanga sa Linux 6.2 kernel nagsagop na sa mga patch nga nagbag-o sa pamatasan alang sa kernel, apan kini nga mga patch giisip nga dili igo tungod kay gitabonan ra nila ang kernel code ug wala magbag-o sa pamatasan alang sa wanang sa tiggamit. Alang sa mga processor sa Intel, ang paglakip sa proteksyon anaa pa sa yugto sa pagrepaso. Ang epekto sa patch sa performance wala pa masukod, apan sumala sa Intel nga dokumentasyon, ang pagpagana sa DOITM mode makapakunhod sa performance (pananglitan, pinaagi sa pag-disable sa pipila ka mga pag-optimize, sama sa data-specific preloading) ug sa umaabot nga mga modelo sa processor ang pagkunhod sa performance mahimong motaas. .
Source: opennet.ru