解读:起底“芯片门” 效率与信息安全的矛盾如何调和?

PChome | 编辑: 单亚凯 2018-03-08 05:00:38原创 一键看全文

2018年1月,英特尔芯片被爆出存在技术缺陷导致重大安全漏洞,黑客可利用该漏洞读取设备内存,获得密码、密钥等敏感信息,信息一经曝光,立刻在全球信息行业引发广泛关注。全球几乎所有电脑与移动终端以及云服务提供商都将受到影响。虽然此次“芯片门”没有造成大范围的严重性事件,但也又一次给整个信息行业敲响了警钟,如何确保效率与安全成为行业关键挑战。

·2018开年大事件 “芯片”漏洞引发行业关注

2018年1月,新年伊始,本应是万象更新,欣欣向荣之时,不过,对于全球几大芯片厂商来说,却过得并不轻松。1月2日,据美国部分财经媒体报道,谷歌公司以及多所高校的研究人员发现,英特尔芯片存在技术缺陷导致重大安全漏洞,黑客可利用该漏洞读取设备内存,获得密码、密钥等敏感信息。安全小组Google Project Zero的研究员Jann Horn在其组织网站上公布了两组芯片漏洞Meltdown(熔断)和Spectre(幽灵),分别对应全球统一漏洞库的CVE-2017-5754、CVE-2017-5753/CVE-2017-5715。发现Meltdown漏洞的三个独立小组,Cyberus Technology小组、奥地利格拉茨技术大学研究小组均得出了相似结论。

格拉茨技术大学研究员丹尼尔·格鲁斯认为,该漏洞可能是迄今最严重的中央处理器漏洞。相关信息一经曝光,立刻在全球信息行业引发广泛关注,因为目前全球几乎所有电脑与移动终端以及云服务提供商都将受到影响。Meltdown和Spectre同时影响1995年之后除2013年之前安腾、凌动之外的全系英特尔处理器,Spectre还影响AMD、ARM、英伟达的芯片产品,几乎波及整个计算机处理器世界。

乱序执行示意图

两组漏洞的起因皆为芯片厂商长期为提高CPU执行效率而引入的两个特征:Out-of-Order Execution(乱序执行)和Speculative Execution(推测执行)。现代处理器为了提高执行效率有别于早期处理器的顺序指令执行,对指令执行进行相关性分析后进行乱序并行处理,这大大提高了CPU的性能。这种设计思想有赖于英特尔处理器的三级缓存构架,线程之间共享缓存的设计。为了确保并行执行的准确性,处理器对执行指令进行安全检查,只有符合当前用户权限的指令才能被执行。然而这里有一个窗口期,在并行执行的一段过程中,被加载到缓存的指令并不会接受安全检查,而那些被丢弃的指令也不会在缓存中被重置。

安全人员验证可通过漏洞获取用户密码

推测执行在性能提升的方法上有别于乱序执行,但是指令在缓存中的状态却是相似的。因此,缓存中的对象就成了time based side channel attack(基于时间的旁路攻击)的目标。攻击者通过非正面推测缓存中的信息,以此获得用户隐私数据。亚马逊、微软和谷歌是三个受影响最深的云计算厂商,如果该漏洞被利用,那么在同一物理空间的虚拟用户A可以任意访问到另一个虚拟用户B的数据,包括受保护的密码、应用程序密匙等。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 4 页1234
一键看全文

本文导航

相关阅读

网友评论

每日精选

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑