|
|---|
|
|
|
|
|
|
f******o
发帖数: 2469 | 1 Intel CEO科再奇近日宣布,过去五年发布的Intel处理器已经全部修复了Spectre幽灵
漏洞的第一个变种,而在下一代处理器中将重新设计硬件,完全免疫幽灵漏洞第二个变
种和Meltdown熔断漏洞。
作为全球x86处理器市场的龙头老大,Intel面临如此严重的漏洞危机,到底是如何应对
解决的?幕后又有哪些鲜为人知的故事呢?
《财富》杂志近日特意撰文,从另外一个视角解读了这次漏洞事件,标题“How Intel
Is Moving From Software Fixes to Hardware Redesigns to Combat Spectre and
Meltdown”(Intel在应对“幽灵”和“熔断”漏洞时,如何把策略从软件修复转变为重
新设计硬件)。
原文编译如下:
几个星期前,在芯片制造商Intel工作了20年的资深高管Ronak Singhal正准备前往他在
以色列最喜欢的餐厅Helena就餐,但在他前往这个位于海法南部地中海岸边的高级餐厅
,与同事们一起庆祝升职之前,他不得不向公司的一个软件合作伙伴解释,Intel如何
为 “幽灵”和“熔断”安全问题打补丁。
当晚,负责Intel所有处理器架构开发的Singhal要面对的问题是:补丁出了问题。
在全世界运行Intel CPU的数百万台电脑中,“幽灵”的一个补丁会导致某些计算机死
机或自动重启。虽然这只影响了一小部分市场,但已经蔓延到足以让PC制造商惊慌失措
的程度,他们立即暂时召回了更新后的软件。
Linux之父Linus Torvalds甚至被气得公开宣布Intel的工作“是垃圾”。
Singhal解释说,补丁使用了一些Intel以前从未在其软件中使用过的技术,有些情况下
并没有达到预期的效果。
他花了一个多小时才打消了承包商的担忧——Singhal的同事们迟迟等不到他,就先吃
饭了。
“他们还为我迷路了或者被绑架了。”他以开玩笑的口吻回忆起这件事。
他最后确实参加了聚会,吃了一盘Helena餐厅的招牌鱿鱼。
几周后,Intel发布了修正补丁,从那时起,针对计算史上最严重安全事件之一的修复
工作进展顺利。北京时间3月15日深夜,Intel宣布已为过去5年所生产的所有芯片全面
部署了补丁。
对Singhal来说,下一步就是把修复措施直接嵌入即将发布的处理器硬件中,而改进后
的硬件设计将为今年下半年发布的第八代酷睿处理器,以及有望在第四季度推出的代号
为“Cascade Lake”的至强服务器芯片做好准备。
Singhal说:“把保护措施植入硬件,这消除了软件补丁对性能的巨大影响。”
Intel CEO科再奇告诉《财富》杂志:“我们的第一套软件防御措施已经发挥作用了。
我们已经完成了对最近5年和最新发布产品的修复。现在开始实施硬件防御措施,后者
将植入我们的芯片内。”
Intel幽灵/熔断漏洞修复幕后故事:从软到硬
“幽灵”和“熔断”的变体1、2、3
这些严重的安全漏洞存在于Intel及其竞争对手在过去几十年制造的几乎所有芯片中。
去年夏天刚发现的时候,这些漏洞并不起眼。
Google一个特别安全漏洞研究团队的研究人员在去年6月向Intel安全部门通报说,他们
在CPU设计的关键部分发现了一个问题。
现代芯片通常有很多空闲的处理能力,因此,程序在早期步骤执行完毕之前,会计算几
个解决问题的选项,这是情理之中的事。这种被称为预测执行的性能增长策略随后会丢
弃不符合早期步骤执行结果的答案。
但是,Google研究人员,以及随后的几个学术界团队,都发现了欺骗芯片、使其泄露密
码和加密密钥等数据的方式,因为预测执行计算使用了这些数据。
研究人员把这种欺骗方法的其中两个变体称为“幽灵”,这是《007》电影中与詹姆斯
·邦德对抗的邪恶组织的名称,并把第三个变体称为“熔断”,因为它可以有效地“熔
断”安全障碍。
这个危险对于云服务器来说尤其严重,因为来自多个客户的程序可能会在同一个芯片上
并在网络浏览器中运行,而网络浏览器可能不知不觉地执行来自一个网站的代码。
2017年7月初,Intel和其它芯片制造商已经意识到该问题影响范围巨大,并召集了多个
小组来开发解决方案。
Singhal召集了一次晨会,有时候会持续两个小时,以此来协调Intel在俄勒冈州、加州
、德克萨斯州和以色列的应急响应办公室。来自不同时区的人不停歇地全天候处理这个
问题。
自始至终,计划都是首先发布软件补丁,然后把保护措施纳入未来的芯片设计中。
软件补丁的代价是降低了受影响CPU的性能,而降低的程度取决于Intel芯片的类型,以
及运行的程序。
在一台配备Kaby Lake酷睿i7处理器的PC上进行的测试表明,大多数应用的速度降低了
不到10%,在日常使用中难以觉察到。
微软警告说,运行Windows 7/8系统以及5年前的Intel Haswell处理器的PC会受到重大
影响。
Intel幽灵/熔断漏洞修复幕后故事:从软到硬
Intel最新的安全措施
为此,Intel CEO科再奇设立了一个新的小组IPAS(Intel产品保障与安全),不仅修复“
幽灵”和“熔断”漏洞,还将更高效地应对未来的安全问题。1979年就加入Intel的高
管Leslie Culbertson负责领导IPAS小组。
科再奇说,“这是一个全新的研究领域和全新的安全理解领域,需要Intel的长期投资
”,重点将是发现未来的漏洞,还有如何让芯片更安全这个普遍问题,“你会看到持续
的进展——这就是这个团队的工作”。
Singhal说:“我们知道这不是故事的结局。对于我们很多人来说,这或许会是一项持
续的工作。”
当新闻媒体在今年1月初报道了有关“幽灵”和“熔断”的新闻之后,Intel的股价遭受
重击,因为投资者害怕安全问题会减缓芯片销售。
最近,一些分析师认为,内置保护措施的全新Intel芯片可能会刺激更多的销售,因为
企业希望升级到更安全的硬件。
Intel的股价今年迄今为止已经增长了12%,超过了标准普尔500指数3%的增幅。
科再奇说:“我们从一开始就说,我们认为影响微不足道。分析师需要意识到,我们持
续进行此类改进——提高安全性和性能以及增加新功能,以推动升级换代。” |
|
|
|
|
|
|
