《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 為啥處理器芯片安全漏洞不斷升級(jí),解決辦法卻遙遙無期

為啥處理器芯片安全漏洞不斷升級(jí),解決辦法卻遙遙無期

2018-09-12
關(guān)鍵詞: PC 兼容性 硬件 加速器

強(qiáng)調(diào)性能和向后兼容性再加上系統(tǒng)復(fù)雜性的不斷增加催生了許多難以修復(fù)的漏洞。

在過去一年中,谷歌的Zero項(xiàng)目至少發(fā)現(xiàn)了處理器中的三個(gè)主要安全漏洞,預(yù)計(jì)未來的幾個(gè)月還會(huì)發(fā)現(xiàn)更多漏洞?,F(xiàn)在的問題是怎么解決這些漏洞。

PC時(shí)代開啟以來,對(duì)硬件的兩項(xiàng)主要要求一直是保持向后兼容性和更新后的處理器實(shí)現(xiàn)性能改進(jìn),沒有人希望在每次升級(jí)硬件時(shí)重新編寫軟件,想要逆這種潮流而動(dòng)的公司也都活得不好。

但是,事實(shí)證明,安全性問題并沒有隨著時(shí)代的發(fā)展而銷聲匿跡,過去有效的方法可能會(huì)在未來失效。現(xiàn)在,一個(gè)五年前被人們認(rèn)為是最先進(jìn)的安全性設(shè)計(jì)現(xiàn)在可能會(huì)在幾個(gè)小時(shí)之內(nèi)被黑客利用更加強(qiáng)大的計(jì)算機(jī)和互聯(lián)網(wǎng)攻破。之前,可以在虛擬機(jī)中添加一個(gè)抽象層,在多用戶的云環(huán)境中隔離各個(gè)應(yīng)用程序,從而保證一個(gè)應(yīng)用程序不會(huì)受到其它應(yīng)用程序的攻擊。

1536628952600033152.png

這些漏洞同樣也會(huì)影響AI/機(jī)器學(xué)習(xí)領(lǐng)域,還有那些使用各種加速器、不同的內(nèi)存架構(gòu)和不斷變化的算法的場合。其中一些硬件完全是新品牌而且未經(jīng)充分測試,沒有人能確定隨著時(shí)間的推移它們的安全性如何,或者調(diào)整硬件和軟件算法可能會(huì)給安全性帶來什么影響。

“在AI的使用方式上存在大量安全挑戰(zhàn),”獨(dú)立密碼學(xué)家和計(jì)算機(jī)安全專家Paul Kocher說?!鞍▽?duì)從訓(xùn)練集、對(duì)抗性輸入到不可預(yù)測的邊緣使用情況的毒化。經(jīng)過有效自動(dòng)創(chuàng)建的這些算法的整體復(fù)雜性,使得在之前專家通過創(chuàng)建算法解決的問題之上又增加了一組全新的問題。有大量的論文寫到對(duì)使用了加速器或未使用加速器的AI系統(tǒng)的攻擊。過去幾年中這種情況已經(jīng)出現(xiàn)不少,未來還會(huì)更多,這是一個(gè)非常活躍的研究領(lǐng)域,現(xiàn)在可以說是一片混亂?!?/p>

在過去,硬件上的軟件是跟硬件適配的,但現(xiàn)在不同了,新的AI芯片正由軟件定義,這種關(guān)系的逆轉(zhuǎn)會(huì)如何影響安全性還有待觀察,但是由于軟件不斷地變化,使得我們更加難以確定這些系統(tǒng)最終的表現(xiàn)。

“目前并沒有一勞永逸的殺手級(jí)解決策略,很多結(jié)果都是臨時(shí)拼湊出來的,而且很難復(fù)制到其它系統(tǒng)中,”Kocher說,“因此,現(xiàn)在甚至很難確定對(duì)一個(gè)場景有效而且似乎在一個(gè)學(xué)術(shù)環(huán)境中奏效的安全策略是否適用于該領(lǐng)域其他場合。”

在非AI的世界中,安全也是一個(gè)迫在眉睫的問題,邊緣設(shè)備數(shù)量正在快速增長。熔斷和幽靈故障使得首席技術(shù)官們憂心忡忡,他們擔(dān)心數(shù)據(jù)泄露、數(shù)據(jù)被盜和軟件勒索。大型芯片廠商已經(jīng)快速發(fā)布了安全補(bǔ)丁,但是打補(bǔ)丁會(huì)影響性能。在數(shù)據(jù)中心領(lǐng)域,性能就意味著金錢,因?yàn)樗鼤?huì)影響數(shù)據(jù)處理速度、需要部署多少冷卻系統(tǒng)、為了保持平衡需要部署多少額外的計(jì)算容量。

“大多數(shù)攻擊都是在軟件中進(jìn)行的,這仍然是當(dāng)前安全問題的主流陣地,”谷歌董事會(huì)主席John Hennessy在最近的Hot Chips 30大會(huì)上發(fā)表演講時(shí)指出。但是他還提到,對(duì)硬件的攻擊正在成為一個(gè)更大的問題?!叭蹟嗪陀撵`漏洞只是一個(gè)開始,現(xiàn)在安全漏洞有多個(gè)版本,熔斷和幽靈可能只是第一個(gè)版本。L1TF和Foreshadow可以突破虛擬機(jī)的防線?!?/p>

Hennessy說這些漏洞幾乎不可能通過軟件修復(fù),因?yàn)闀?huì)使得性能受到很大影響,而且并非所有漏洞都能通過軟件方式解決?!昂芏嗵幚砥鞫加新┒?,”他說,“修復(fù)漏洞的平均時(shí)間大概為100天左右?!?/p>

預(yù)測執(zhí)行

目前有一個(gè)重要的硬件攻擊表現(xiàn)在預(yù)測性執(zhí)行上,這在處理器中大致相當(dāng)于預(yù)取對(duì)搜索起到的加速作用。預(yù)測執(zhí)行機(jī)制會(huì)預(yù)測處理器上下一條指令的結(jié)果,以優(yōu)化性能。

問題在于,這個(gè)在過去一直運(yùn)行良好的機(jī)制現(xiàn)在被認(rèn)為很容易受到側(cè)通道攻擊。谷歌軟件工程師Paul Turner在Hot Chips的演講中表示,在過去的二十年中,人們認(rèn)為這種機(jī)制沒什么問題,但現(xiàn)在結(jié)果證明這是一個(gè)錯(cuò)誤的假設(shè)。他指出,預(yù)測執(zhí)行對(duì)共享內(nèi)存特別麻煩,因?yàn)閷?duì)邊界的錯(cuò)誤推測可能會(huì)觸發(fā)一個(gè)安全漏洞。黑客可以使用這種機(jī)制通過受限內(nèi)存訪問軟件內(nèi)核和虛擬機(jī)管理程序,并查看系統(tǒng)中運(yùn)行的任何內(nèi)容。

“現(xiàn)在沒有任何單元會(huì)告訴硬件的邊界在哪里,”Turner說。他指出,黑客可以使用一個(gè)側(cè)信道在他自己的執(zhí)行環(huán)境里攻擊私有內(nèi)存。

幾十年來,一直使用預(yù)測執(zhí)行幫助提高硬件性能。威斯康星大學(xué)計(jì)算機(jī)科學(xué)教授Mark Hill表示,多年來預(yù)測執(zhí)行方法幫助性能提升了20倍,這個(gè)差異大致相當(dāng)于當(dāng)前處理器速度與200MHz芯片之間的差異。

“問題在于我們這次是通過硬件手段來解決這個(gè)問題還是只是緩解這個(gè)問題,”Hill說。 “由于影響重大,所以需要很長時(shí)間確定其解決方式?!?/p>

發(fā)現(xiàn)安全漏洞只是問題的一方面,更重要的是如何處理它們。

Synopsys董事長兼聯(lián)合首席執(zhí)行官Aart de Geus說:“如果一款基礎(chǔ)性的處理器新發(fā)現(xiàn)了一個(gè)會(huì)產(chǎn)生很大影響的安全漏洞,如果它的所有系統(tǒng)都在你的掌控之內(nèi),它一般會(huì)相對(duì)較快地得到修復(fù)。安全性的一個(gè)關(guān)鍵挑戰(zhàn)在于了解漏洞和與客戶交流的時(shí)機(jī)。假如你發(fā)現(xiàn)了一個(gè)系統(tǒng)中的漏洞,你會(huì)同時(shí)告訴所有客戶嗎?會(huì)公開告訴他們還是悄悄告訴他們?如果是公開告知,你的競爭對(duì)手很快也能得到消息。”

這就是為什么谷歌的Zero項(xiàng)目發(fā)現(xiàn)的新漏洞過了很久才被大眾所知的原因之一。

“一旦有人發(fā)現(xiàn)了漏洞,他們會(huì)告訴受到影響的供應(yīng)商,然后通常會(huì)有三到六個(gè)月的停止供貨期?!盞ocher說?!斑@個(gè)時(shí)間根據(jù)具體情況可能會(huì)稍微長一些。人們發(fā)現(xiàn)了幽靈和熔斷漏洞之后,芯片供應(yīng)商們開始研究可以如何解決、如何調(diào)整,現(xiàn)在這個(gè)時(shí)間點(diǎn)已經(jīng)過了供貨禁運(yùn)期。Foreshadow攻擊的供貨禁運(yùn)期開始于1月份,這正是其它漏洞供貨禁運(yùn)期結(jié)束的時(shí)間點(diǎn)。我覺得應(yīng)該留出足夠長的禁運(yùn)時(shí)間,等待學(xué)術(shù)研究人員發(fā)表了對(duì)問題的解決方案之后再解禁。”

未來肯定會(huì)有更多漏洞暴露出來,而且并不是所有漏洞都會(huì)被充滿騎士精神的黑客發(fā)現(xiàn)。如果是壞家伙發(fā)現(xiàn)了漏洞,沒有人知道那些芯片會(huì)受到什么影響。同時(shí),其中一些芯片開始進(jìn)入汽車或工業(yè)市場等安全關(guān)鍵應(yīng)用領(lǐng)域。過去,沒有人認(rèn)為汽車會(huì)被成功攻擊,但是現(xiàn)在隨著汽車聯(lián)接性的增加,汽車部署了互聯(lián)網(wǎng)和電子設(shè)備以控制車輛運(yùn)動(dòng),惡意軟件的威脅就突然變得更加嚴(yán)重了。由于這些芯片的預(yù)計(jì)使用壽命是10年到20年,因此這個(gè)問題更加嚴(yán)峻了。

設(shè)計(jì)安全性

理想的解決方案是從一開始就設(shè)計(jì)最佳的安全實(shí)踐,但安全特性本身使得這更加艱難了。

“安全性是客戶始終關(guān)注的焦點(diǎn),”Cadence產(chǎn)品管理和營銷高級(jí)組主管Frank Schirrmeister說。 “人們對(duì)如何處理安全問題有著充分的認(rèn)識(shí)。芯片中有一些其它任何單元無法看到的高安全性模塊,并且有正式的工具可以幫助您驗(yàn)證。你正在建立一個(gè)信任鏈。安全設(shè)計(jì)也會(huì)影響設(shè)計(jì)的其他部分,因?yàn)槲覀冞€希望所有安全區(qū)域都有JTAG接口幫助我們讀取芯片內(nèi)容以利于調(diào)試?!?/p>

安全性也沒有得到普遍應(yīng)用,隨著更多設(shè)備聯(lián)網(wǎng),安全性的顧慮也增加了。

“每一種設(shè)備都有不同的威脅,和與之相關(guān)的不同成本,”Arm高級(jí)物聯(lián)網(wǎng)產(chǎn)品經(jīng)理Mike Eftimakis說?!氨热鐭襞莺椭悄芟鄼C(jī)的保護(hù)級(jí)別就有很大不同。你可以開發(fā)不同的架構(gòu)應(yīng)對(duì)這些威脅。這種方法更多的是拿來主義,因?yàn)椴⒎撬蠭C芯片都是安全專家開發(fā)的?!?/p>

即便是這樣,也會(huì)出現(xiàn)薄弱環(huán)節(jié)。

Rambus的首席技術(shù)官M(fèi)artin Scott說:“物聯(lián)網(wǎng)設(shè)備越多,可使用的設(shè)備種類越多,漏洞攻擊的機(jī)會(huì)也越多。你看下手機(jī)平臺(tái),它足夠成熟,足夠標(biāo)準(zhǔn)化,而且已經(jīng)大批量供應(yīng)了那么長時(shí)間,使得很難對(duì)它進(jìn)行攻擊了。應(yīng)用程序和存儲(chǔ)器更好地綁定在一起。但是連接汽車密鑰的設(shè)備、或者連接冰箱或者家庭網(wǎng)關(guān)、過濾器等的可穿戴設(shè)備,它們的標(biāo)準(zhǔn)化程度不同,也沒有執(zhí)行同等規(guī)格的協(xié)議合規(guī)性測試或安全測試,這是非常令人擔(dān)憂的攻擊點(diǎn)。攻擊可能發(fā)生在你并不認(rèn)為非常有價(jià)值的東西身上?!?/p>

結(jié)論

由于多種原因,硬件安全風(fēng)險(xiǎn)仍將繼續(xù)升級(jí)。首先,數(shù)據(jù)的價(jià)值正在增加,而且現(xiàn)在有更好的工具幫助篩選大量有用數(shù)據(jù)。其次,不斷增加的連接性和復(fù)雜性使得設(shè)備可以被遠(yuǎn)程攻擊。再次,硬件正被開發(fā)作為日益復(fù)雜的系統(tǒng)的一部分,其中一些硬件可能會(huì)使用十年甚至更長時(shí)間。

十多年來,安全專家一直在警告硬件風(fēng)險(xiǎn),但是過去并沒有確鑿的證據(jù)支持他們的說法。不過,在過去的一年中,不斷出現(xiàn)的安全漏洞使得情況發(fā)生了很大的變化。雖然硬件現(xiàn)在還遠(yuǎn)遠(yuǎn)不夠安全,但是已經(jīng)有更多的人對(duì)此密切關(guān)注了。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。