Tîmek lêkolînerên ji Zanîngeha Illinois teknîkek nû ya êrişê ya kanala alî pêşxistiye ku levkirina agahdariyê bi navgîniya Ring Interconnect of processors Intel manîpule dike. Êrîş dihêle hûn agahdariya karanîna bîranînê di serîlêdanek din de ronî bikin û agahdariya demjimêra bişkojka bişopînin. Lekolînwanan amûrên ji bo pêkanîna pîvandinên têkildar û gelek îstîsmarên prototîp weşandin.
Sê karanîn hatine pêşniyar kirin ku dê destûrê bide:
- Dema ku pêkanînên RSA û EdDSA yên ku ji êrişên kanala alîgir re xeternak in bikar bînin (heke derengiya hesabkirinê bi daneyên ku têne hilanîn ve girêdayî be, bitikên ferdî yên bişkojkên şîfrekirinê vegerînin). Mînakî, rijandina biteyên kesane bi agahdariya di derbarê vektora destpêkbûnê (ne) ya EdDSA de bes e ku meriv êrîşan bikar bîne da ku bi rêzdarî tevahî mifteya taybet vegere. Êrîş di pratîkê de dijwar e û dikare bi hejmareke zêde ya rezervan were kirin. Mînakî, dema ku SMT (HyperThreading) neçalak be û cache LLC di navbera core CPU de were dabeş kirin, operasyona serketî tê xuyang kirin.
- Parametreyên der barê derengiyên di navbera lêdana bişkojan de diyar bikin. Dereng bi pozîsyona bişkokan ve girêdayî ye û dihêle, bi analîzên îstatîstîkî ve, daneyên ku ji klavyeyê hatine ketin bi îhtimalek diyar ji nû ve biafirînin (mînak, pir kes bi gelemperî "s" piştî "a" ji "g" pir zûtir dinivîsin. "s").
- Kanalek danûstendinê ya veşartî organîze bikin da ku daneyan di navbera pêvajoyan de bi leza 4 megabit per second veguhezînin, ku bîranîna hevbeş, cache-ya pêvajoyê, û çavkaniyên bingehîn-taybet ên CPU û strukturên pêvajoyê bikar nayîne. Tê destnîşan kirin ku rêbaza pêşniyarkirî ya çêkirina kanalek veşartî pir dijwar e ku bi rêbazên heyî yên parastina li dijî êrîşên kanalên alîgir ve were asteng kirin.
Kêmasî ne hewceyê îmtiyazên bilindkirî ne û dikarin ji hêla bikarhênerên asayî, bêdestûr ve werin bikar anîn. Tê destnîşan kirin ku dibe ku êrîş bi potansiyel were adaptekirin da ku levkirina daneyan di navbera makîneyên virtual de organîze bike, lê ev mijar li derveyî çarçoweya lêkolînê bû û ceribandina pergalên virtualîzasyonê nehat kirin. Koda pêşniyarkirî li ser CPU Intel i7-9700 li Ubuntu 16.04 hate ceribandin. Bi gelemperî, rêbaza êrîşê li ser pêvajoyên sermaseyê yên ji malbata Intel Coffee Lake û Skylake hatî ceribandin, û di heman demê de bi potansiyel ji bo pêvajoyên servera Xeon ji malbata Broadwell jî tê sepandin.
Teknolojiya Ring Interconnect di pêvajoyên ku li ser bingeha mîkroarchitectura Sandy Bridge de xuya bû û ji çend otobusên lûlekirî pêk tê ku ji bo girêdana navgînên hesabker û grafîkê, pirek server û cache têne bikar anîn. Esasê rêbaza êrîşê ev e ku, ji ber tixûbdariya band otobusê ya zengilê, operasyonên bîranînê di pêvajoyek de gihîştina bîranîna pêvajoyek din dereng dixe. Bi naskirina hûrguliyên pêkanîna bi navgîniya endezyariya berevajî ve, êrîşkar dikare barek çêbike ku dibe sedema derengketina gihîştina bîranînê di pêvajoyek din de û van derengiyan wekî kanalek alî bikar bîne da ku agahdarî bistîne.
Êrîşên li ser otobusên CPU yên hundurîn ji ber kêmbûna agahdarî di derheqê mîmarî û awayên xebitandinê yên otobusê de, û her weha dengek bilind, ku veqetandina daneyên kêrhatî dijwar dike. Mimkun bû ku prensîbên xebitandinê yên otobusê bi endezyariya berevajî ya protokolan ve were fêm kirin dema ku daneyan bi otobusê veguhezîne. Modelek dabeşkirina daneyê li ser bingeha rêbazên fêrbûna makîneyê hate bikar anîn da ku agahdariya kêrhatî ji deng veqetîne. Modela pêşniyarkirî ev gengaz kir ku di pêvajoyek taybetî de çavdêriya derengiyan di dema hesaban de were organîze kirin, di şert û mercên ku çend pêvajo bi hevdemî bigihîjin bîranînê û beşek diyarkirî ya daneyê ji kaşên pêvajoyê vedigere.
Digel vê yekê, em dikarin di dema êrişên li ser pergalên Linux-ê de nasnameya şopên karanîna karûbarek ji bo guhertoya yekem a qelsiya Spectre (CVE-2017-5753) destnîşan bikin. Kêmasî rijandina agahdariya kanala alî bikar tîne da ku di bîranînê de superblokek bibîne, înode pelê /etc/shadow destnîşan bike, û navnîşana rûpela bîranînê hesab bike da ku pelê ji cache dîskê bigire.
Source: opennet.ru