ProHoster > Blog > internetske vijesti > Googleov inženjer predložio je softversku zaštitu procesora od LVI napada

Googleov inženjer predložio je softversku zaštitu procesora od LVI napada

Prije nekog vremena postalo je poznato o novoj ranjivosti u spekulativnoj arhitekturi Intelovih procesora, koja je tzv. Ubrizgavanje vrijednosti opterećenja (LVI). Intel ima svoje mišljenje o opasnostima LVI i preporuke za njihovo ublažavanje. Vaša vlastita verzija zaštite od takvih napada ponudio inženjer u Googleu. Ali morat ćete platiti za sigurnost smanjenjem performansi procesora u prosjeku za 7%.

Googleov inženjer predložio je softversku zaštitu procesora od LVI napada

Ranije smo primijetili da opasnost od LVI ne leži u specifičnom mehanizmu koji su otkrili istraživači, već u samom principu napada bočnog kanala LVI, koji je prvi put prikazan. Tako je otvoren novi pravac za prijetnje na koje nitko do tada nije ni slutio (o tome se barem nije govorilo u javnom prostoru). Dakle, vrijednost razvoja Googleovog stručnjaka Zola Bridgesa leži u činjenici da njegova zakrpa ublažava opasnost čak i od nepoznatih novih napada temeljenih na LVI principu.

Prethodno u GNU Project Assembleru (Sastavljač GNU-a) napravljene su promjene koje smanjuju rizik od LVI ranjivosti. Te su se promjene sastojale od dodavanja upute za barijere LFENCE, koji je uspostavio strogi slijed između pristupa memoriji prije i poslije barijere. Testiranje zakrpe na jednom od Intelovih procesora generacije Kaby Lake pokazalo je smanjenje performansi do 22%.

Googleov programer predložio je svoju zakrpu s dodatkom LFENCE instrukcija skupu prevoditelja LLVM, a zaštitu nazvao SESES (Speculative Execution Side Effect Suppression). Opcija zaštite koju je predložio ublažava prijetnje LVI i druge slične, na primjer, Spectre V1/V4. Implementacija SESES-a omogućuje prevoditelju dodavanje LFENCE instrukcija na odgovarajućim mjestima tijekom generiranja strojnog koda. Na primjer, umetnite ih prije svake upute za čitanje iz memorije ili pisanje u memoriju.

LFENCE instrukcije sprječavaju preuzimanje svih sljedećih instrukcija dok se prethodna čitanja memorije ne završe. Očito, to utječe na performanse procesora. Istraživač je otkrio da je SESES zaštita u prosjeku smanjila brzinu izvršavanja zadataka korištenjem zaštićene biblioteke za 7,1%. Raspon smanjenja produktivnosti u ovom slučaju kretao se od 4 do 23%. Početna prognoza istraživača bila je pesimističnija, zahtijevajući do 19 puta smanjenje učinka.



Izvor: 3dnews.ru

Dodajte komentar