ProHoster > Blog > Internetnachrichten > Die LVI-Schutzsoftware von Google verzeichnete einen 14-fachen Leistungseinbruch

Die LVI-Schutzsoftware von Google verzeichnete einen 14-fachen Leistungseinbruch

Zola Bridges von Google vorgeschlagen für das LLVM-Compiler-Set ein Patch mit der Implementierung des SESES-Schutzes (Speculative Execution Side Effect Suppression), der dabei hilft, Angriffe auf den spekulativen Ausführungsmechanismus in Intel-CPUs zu blockieren, wie z LVI. Die Schutzmethode wird auf Compilerebene implementiert und basiert auf dem Hinzufügen von Anweisungen durch den Compiler beim Generieren von Maschinencode LFENCE, die vor jedem Speicherlese- oder -schreibbefehl sowie vor dem ersten Verzweigungsbefehl in der Befehlsgruppe, die den Block beendet, eingefügt werden.

Der LFENCE-Befehl wartet darauf, dass alle vorherigen Speicherlesevorgänge festgeschrieben werden, und deaktiviert die Vorbelegung nachfolgender Befehle nach LFENCE, bis der Festschreibungsvorgang abgeschlossen ist. Die Verwendung von LFENCE führt zu einer erheblichen Leistungseinbuße, daher wird vorgeschlagen, den Schutz in extremen Fällen für besonders kritischen Code zu verwenden. Zusätzlich zum vollständigen Schutz bietet der Patch drei Flags, mit denen Sie bestimmte Schutzstufen selektiv deaktivieren können, um die negativen Auswirkungen auf die Leistung zu verringern.

In den durchgeführten Tests führte die Verwendung des SESES-Schutzes für das BoringSSL-Paket zu einer Reduzierung der Anzahl der von der Bibliothek pro Sekunde durchgeführten Operationen um das 14-fache – die Leistung der geschützten Version der Bibliothek betrug im Durchschnitt nur 7.1 % der ungeschützte Version (Schwankung je nach Test von 4 % bis 23 %).

Zum Vergleich, предложеный Zuvor zeigte bei GNU Assembler ein Mechanismus, der nach jedem Speicherladevorgang und vor einigen Verzweigungsanweisungen eine LFENCE-Ersetzung durchführt, einen Leistungsabfall von etwa dem Fünffachen (5 % des Codes ohne Schutz). Schutzmethode auch vorgeschlagen и implementiert von Intel-Ingenieuren entwickelt, die Ergebnisse der Leistungstests wurden jedoch noch nicht veröffentlicht. Zunächst prognostizierten die Forscher, die den LVI-Angriff identifizierten, einen zwei- bis 2-fachen Leistungsabfall bei Anwendung des vollständigen Schutzes.

Source: opennet.ru

Kommentar hinzufügen