ProHoster > BLOG > știri pe internet > Software-ul de protecție LVI de la Google a înregistrat o performanță de 14 ori mai mare

Software-ul de protecție LVI de la Google a înregistrat o performanță de 14 ori mai mare

Zola Bridges de la Google El a oferit pentru setul de compilatoare LLVM, un patch cu implementarea protecției SESES (Speculative Execution Side Effect Suppression), care ajută la blocarea atacurilor asupra mecanismului de execuție speculativă în procesoarele Intel, cum ar fi LVI. Metoda de protecție este implementată la nivel de compilator și se bazează pe adăugarea de către compilator la generarea codului mașinii de instrucțiuni LFENCE, care sunt înlocuite înaintea fiecărei instrucțiuni pentru a citi din memorie sau a scrie în memorie și, de asemenea, înaintea primei instrucțiuni de ramură din grupul de instrucțiuni care încheie blocul.

Instrucțiunea LFENCE așteaptă ca toate citirile anterioare din memorie să fie comise și previne execuția preventivă a instrucțiunilor ulterioare după LFENCE înainte ca comitarea să fie finalizată. Utilizarea LFENCE duce la o scădere semnificativă a performanței, de aceea se propune utilizarea protecției în cazuri extreme pentru codul deosebit de critic. Pe lângă protecția completă, patch-ul oferă trei steaguri care vă permit să dezactivați selectiv anumite niveluri de protecție pentru a reduce impactul negativ asupra performanței.

În testele efectuate, utilizarea protecției SESES pentru pachetul BoringSSL a condus la o scădere a numărului de operațiuni efectuate de bibliotecă pe secundă de 14 ori - performanța versiunii bibliotecii compilată cu protecție s-a dovedit a fi de numai 7.1% pe medie din indicatorii versiunii neprotejate (intervalul în funcție de test este de la 4% la 23%).

Pentru comparație, propus anterior pentru GNU Assembler, mecanismul care efectuează înlocuirea LFENCE după fiecare operație de încărcare a memoriei și înainte de unele instrucțiuni de ramificație a arătat o scădere a performanței de aproximativ 5 ori (22% din codul fără protecție). si metoda de protectie propus и implementate de inginerii Intel, dar rezultatele testelor de performanță pentru acesta nu au fost încă publicate. Inițial, cercetătorii care au identificat atacul LVI au prezis o scădere de 2 până la 19 ori a performanței atunci când se aplică protecție completă.

Sursa: opennet.ru

Adauga un comentariu