Vor einiger Zeit wurde eine neue Schwachstelle in der spekulativen Architektur von Intel-Prozessoren bekannt, die aufgerufen wurde (LVI). Intel hat eine eigene Meinung zu den Gefahren von LVI und Empfehlungen zu deren Eindämmung. Ihre eigene Version des Schutzes gegen solche Angriffe Ingenieur bei Google. Allerdings müssen Sie für die Sicherheit bezahlen, indem Sie die Prozessorleistung um durchschnittlich 7 % reduzieren.
Wir haben zuvor darauf hingewiesen, dass die Gefahr von LVI nicht in dem von den Forschern entdeckten spezifischen Mechanismus liegt, sondern im Prinzip des LVI-Seitenkanalangriffs selbst, der erstmals gezeigt wurde. Damit wurde eine neue Richtung für Bedrohungen eröffnet, die zuvor niemand vermutet hatte (zumindest wurde dies im öffentlichen Raum nicht diskutiert). Der Wert der Entwicklung des Google-Spezialisten Zola Bridges liegt daher darin, dass sein Patch die Gefahr selbst unbekannter neuer Angriffe nach dem LVI-Prinzip mindert.
Zuvor im GNU Project Assembler () Es wurden Änderungen vorgenommen, die das Risiko der LVI-Schwachstelle verringern. Diese Änderungen bestanden im Hinzufügen LFENCE, das eine strikte Reihenfolge zwischen Speicherzugriffen vor und nach der Barriere festlegte. Beim Testen des Patches auf einem der Intel-Prozessoren der Kaby-Lake-Generation zeigte sich ein Leistungsabfall von bis zu 22 %.
Der Google-Entwickler schlug seinen Patch mit der Hinzufügung von LFENCE-Anweisungen zum LLVM-Compilersatz vor und nannte den Schutz SESES (Speculative Execution Side Effect Suppression). Die von ihm vorgeschlagene Schutzoption mindert sowohl LVI-Bedrohungen als auch ähnliche Bedrohungen, beispielsweise Spectre V1/V4. Die SESES-Implementierung ermöglicht es dem Compiler, während der Maschinencodegenerierung LFENCE-Anweisungen an geeigneten Stellen hinzuzufügen. Fügen Sie sie beispielsweise vor jeder Anweisung zum Lesen aus dem Speicher oder zum Schreiben in den Speicher ein.
LFENCE-Anweisungen verhindern die Bevorzugung aller nachfolgenden Anweisungen, bis vorherige Speicherlesevorgänge abgeschlossen sind. Dies wirkt sich natürlich auf die Leistung von Prozessoren aus. Der Forscher stellte fest, dass der SESES-Schutz die Geschwindigkeit der Aufgabenerledigung mithilfe der geschützten Bibliothek im Durchschnitt um 7,1 % reduzierte. Die Bandbreite der Produktivitätseinbußen lag in diesem Fall zwischen 4 und 23 %. Die ursprüngliche Prognose der Forscher war pessimistischer und ging von einem bis zu 19-fachen Leistungsabfall aus.
Source: 3dnews.ru