Varësia e kohës së ekzekutimit të instruksionit nga të dhënat në CPU-të ARM dhe Intel

Eric Biggers, një nga zhvilluesit e shifrës Adiantum dhe një mirëmbajtës i nënsistemit të bërthamës Linux fscrypt propozoi një sërë patch-esh për të adresuar problemet e sigurisë që rrjedhin nga një veçori e procesorëve Intel që nuk garanton kohë të qëndrueshme ekzekutimi të udhëzimeve për lloje të ndryshme të të dhënave. Problemi ka qenë i pranishëm në procesorët Intel që nga familja Ice Lake. Një problem i ngjashëm është vërejtur edhe në procesorët ARM.

Prania e një varësie të kohës së ekzekutimit të udhëzimeve nga të dhënat e përpunuara në këto udhëzime konsiderohet nga autori i arnimeve si një cenueshmëri në procesorë, pasi një sjellje e tillë nuk mund të garantojë sigurinë e operacioneve kriptografike të kryera në sistem. Shumë zbatime të algoritmeve kriptografike janë krijuar për të siguruar që të dhënat të mos ndikojnë në kohën e ekzekutimit të udhëzimeve, dhe shkelja e kësaj sjelljeje mund të çojë në krijimin e sulmeve të kanalit anësor që rikuperojnë të dhënat bazuar në analizën e kohës së përpunimit të tyre.

Potencialisht, varësia e të dhënave të kohës së ekzekutimit mund të përdoret gjithashtu për të nisur sulmet për të përcaktuar të dhënat e kernelit nga hapësira e përdoruesit. Sipas Eric Biggers, koha konstante e ekzekutimit nuk ofrohet si parazgjedhje edhe për instruksionet që kryejnë operacione shtimi dhe XOR, si dhe për udhëzimet e specializuara AES-NI (informacionet nuk janë konfirmuar nga testet, sipas të dhënave të tjera, ka një vonesë prej një cikli gjatë shumëzimit të vektorëve dhe numërimit të biteve).

Për të çaktivizuar këtë sjellje, Intel dhe ARM kanë propozuar flamuj të rinj: PSTATE bit DIT (Koha e pavarur e të dhënave) për CPU-të ARM dhe biti MSR DOITM (Modaliteti i Kohës së Pavarur të të Dhënave) për CPU-të Intel, duke rikthyer sjelljen e vjetër me kohë ekzekutimi konstante. Intel dhe ARM rekomandojnë aktivizimin e mbrojtjes sipas nevojës për kodin kritik, por në realitet, llogaritja kritike mund të ndodhë kudo në kernel dhe hapësirën e përdoruesit, kështu që ne po konsiderojmë aktivizimin e modaliteteve DOITM dhe DIT për të gjithë kernelin në çdo kohë.

Për procesorët ARM në degën e kernelit Linux Patch-et që ndryshojnë sjelljen e kernelit janë miratuar tashmë për versionin 6.2, por këto patch-e konsiderohen të pamjaftueshme sepse ato ndikojnë vetëm në kodin e kernelit dhe nuk ndryshojnë sjelljen e hapësirës së përdoruesit. Për procesorët Intel, aktivizimi i mbrojtjes është aktualisht në fazën e shqyrtimit. Matjet e ndikimit në performancë për patch-in nuk janë kryer ende, por sipas dokumentacionit të Intel, aktivizimi i modalitetit DOITM zvogëlon performancën (për shembull, duke çaktivizuar optimizime të caktuara, të tilla si para-kërkimi specifik i të dhënave), dhe penalizimi i performancës mund të rritet në modelet e ardhshme të procesorëve.

Burimi: opennet.ru

Bleni një host të besueshëm për faqet me mbrojtje DDoS, serverë VPS VDS 🔥 Bleni hosting të besueshëm të faqeve të internetit me mbrojtje DDoS, servera VPS VDS | ProHoster