還記得去年的Spectre和Meltdown的安全漏洞嗎？英特爾和AMD真的不希望這樣。他們希望你理解，這些投機(jī)的執(zhí)行漏洞不會(huì)消失，至少目前為止還沒(méi)有提出解決方案。

永久性的修復(fù)將需要對(duì)CPU的設(shè)計(jì)方式進(jìn)行根本性地更改，而不是嘗試修復(fù)隨附的每個(gè)變體。這個(gè)提議－一個(gè)“安全核心”，確保您的數(shù)據(jù)不會(huì)受到攻擊者的攻擊，無(wú)論他們?cè)噲D利用什么漏洞。

這可能不是這些大型處理器公司想要走的路線，但它可能是唯一一條能夠?qū)崿F(xiàn)的路線。

從根開(kāi)始

當(dāng)新一代處理器推出時(shí)，每個(gè)人都會(huì)問(wèn)的第一個(gè)問(wèn)題是，“它有多快？”“更多的兆赫、更多的核心、更多的緩存，所有這些都可以使應(yīng)用程序運(yùn)行更快，游戲性能更好。第二個(gè)考慮因素可能是電力需求或熱輸出，但很少有人問(wèn)安全性。

問(wèn)題在于，過(guò)去幾年的性能提升主要是由推測(cè)預(yù)測(cè)推動(dòng)的，即CPU會(huì)猜測(cè)你下一步要做什么，并準(zhǔn)備好你可能需要的一切。這對(duì)于性能來(lái)說(shuō)非常好，但正如Spectre及其變體所示，對(duì)于安全性來(lái)說(shuō)非常糟糕。

Malwarebytes高級(jí)安全研究公司Jean－Philippe Taggart告訴Digital Trends，“投機(jī)執(zhí)行已經(jīng)成為CPU性能優(yōu)化的一個(gè)長(zhǎng)期特征?！彼忉尩?，正是這個(gè)特性使得英特爾和其他公司的CPU容易受到幽靈和類似攻擊。他說(shuō)：“CPU架構(gòu)需要重新考量，要么保留這些性能并增強(qiáng)它們，要么保護(hù)它們免受幽靈之類的攻擊，要么完全消除它們?！?/p>

一個(gè)潛在的解決方案是為下一代CPU添加新的硬件。與處理高馬力處理核心上的敏感任務(wù)不同，如果芯片制造商將這些核心與一個(gè)專門(mén)為此類任務(wù)設(shè)計(jì)的額外核心結(jié)合在一起會(huì)怎么樣？

這樣做可能會(huì)使Spectre及其變體成為新硬件的問(wèn)題。明天的主要CPU核心是否容易受到此類攻擊并不重要，因?yàn)檫@些核心不再處理私有或安全信息。

信任的根源不僅僅是一個(gè)粗略的輪廓。在某些情況下，它已經(jīng)是一個(gè)可行的產(chǎn)品，所有像英特爾或AMD這樣的主要芯片公司都需要利用它，就是采用它。

回避幽靈

Rambus產(chǎn)品管理高級(jí)總監(jiān)Ben Levine在被問(wèn)及持續(xù)的幽靈變種威脅時(shí)告訴Digital Trends：“如果你總是被動(dòng)的，必須等待安全漏洞，然后再修復(fù)它們，那么在安全方面就很困難了?！薄霸噲D使復(fù)雜處理器安全的問(wèn)題確實(shí)是一個(gè)困難的方法。這就是我們提出的將安全關(guān)鍵功能移動(dòng)到單獨(dú)核心的方法?！?/p>

Rambus產(chǎn)品管理高級(jí)總監(jiān)Ben Levine

雖然不是第一個(gè)提出這樣一個(gè)想法的人，但Rambus已經(jīng)對(duì)它進(jìn)行了改進(jìn)。它的CryptoManager Root of Trust是一個(gè)獨(dú)立的核心，可以放在一個(gè)主要的CPU芯片上，有點(diǎn)像許多移動(dòng)處理器中的big．little概念，甚至是英特爾自己的新Lakefield設(shè)計(jì)。但是，如果這些芯片使用較小的內(nèi)核來(lái)節(jié)省能源，那么安全的核心信任根將首先關(guān)注安全性。

它可以將處理器與加密加速器以及自己的安全內(nèi)存結(jié)合起來(lái)，而不需要考慮主要CPU的某些方面。這將是一個(gè)相對(duì)簡(jiǎn)單的設(shè)計(jì)，相比于今天運(yùn)行我們的計(jì)算機(jī)的可怕的通用CPU，但這樣做會(huì)更安全。

在保護(hù)自身的過(guò)程中，安全核心可以承擔(dān)最敏感的任務(wù)，而一般用途的CPU核心通常會(huì)處理這些任務(wù)。安全加密密鑰、驗(yàn)證銀行事務(wù)、處理登錄嘗試、在安全內(nèi)存中存儲(chǔ)私有信息或檢查啟動(dòng)記錄在啟動(dòng)期間未損壞。

所有這些都有助于提高使用它的系統(tǒng)的總體安全性。更好的是，由于它將缺乏推測(cè)性的性能增強(qiáng)，它將完全安全地抵御類似幽靈的攻擊，使它們失效。這些攻擊仍然可以對(duì)主CPU核心進(jìn)行攻擊，但由于它們不會(huì)處理任何值得竊取的數(shù)據(jù)，因此無(wú)關(guān)緊要。

“我們的想法不是設(shè)計(jì)出一個(gè)做每件事都非?？焖俸桶踩腃PU，而是可以讓我們針對(duì)不同的目標(biāo)分別優(yōu)化不同的內(nèi)核。” Levine解釋說(shuō)?！白屛覀儍?yōu)化我們的主CPU以獲得性能或更低的功耗，無(wú)論對(duì)于該系統(tǒng)重要的是什么，優(yōu)化另一個(gè)核心以實(shí)現(xiàn)安全性是必要的?，F(xiàn)在，我們有了這兩個(gè)單獨(dú)優(yōu)化的處理域，并且考慮到計(jì)算和系統(tǒng)的特點(diǎn)，在其中任何一個(gè)域中進(jìn)行處理都是最合適的。”

這樣的核心操作起來(lái)有點(diǎn)像蘋(píng)果在iMac上推出的t2協(xié)處理器芯片，后來(lái)在2018年實(shí)施。

安全，但成本是多少？

人們常說(shuō)復(fù)雜性是安全的敵人。這就是Rambus提出的安全核心設(shè)計(jì)相對(duì)簡(jiǎn)單的原因。并不像臺(tái)式機(jī)或筆記本電腦中的典型CPU那樣，是一個(gè)具有多核和高時(shí)鐘速度的大而可怕的芯片。

那么，這是否意味著如果將這樣的核心與現(xiàn)代芯片一起使用，我們會(huì)犧牲性能？不一定。
從安全核心的概念來(lái)看，無(wú)論是Rambus的CryptoManager信任根，還是來(lái)自另一家公司的類似設(shè)計(jì)，重要的是它只會(huì)執(zhí)行專注于隱私或安全的任務(wù)。您不需要它在游戲過(guò)程中接管圖形卡，或在Photoshop中調(diào)整圖像。您可能更喜歡它來(lái)處理通過(guò)聊天應(yīng)用加密您的消息。這就是專用硬件可以在安全性之外獲得一些好處的地方。

Levine說(shuō)：“加密算法、加密或解密算法（如AES）或使用公鑰算法（如RSA或橢圓曲線）等，這些操作在軟件中的執(zhí)行速度相對(duì)較慢，但安全核心可以有硬件加速器來(lái)更快地執(zhí)行這些操作?！?/p>

這是Arm的物聯(lián)網(wǎng)安全負(fù)責(zé)人，Rob Coombs非常贊同。

“通常信任的根源將構(gòu)建在加密加速器中，因此需要更多的芯片，但其好處在于，它對(duì)加密函數(shù)等功能具有更高的性能，因此您不需要僅僅依靠處理器來(lái)執(zhí)行文件的常規(guī)加密。”他說(shuō)。“處理器可以設(shè)置它，然后加密引擎可以咀嚼數(shù)據(jù)并對(duì)其進(jìn)行加密或解密。你將獲得更高的性能?！?/p>

像英特爾這樣的現(xiàn)代處理器確實(shí)有自己的加密加速器，因此，在這種情況下，加密或解密從根本上來(lái)說(shuō)可能不會(huì)比通用CPU完成相同任務(wù)更快，但這是可以比較的。

Rob Coombs，ARM物聯(lián)網(wǎng)安全主管

盡管Coombs在他與我們的談話中強(qiáng)調(diào)，信任核心的根源需要一些額外的硅片來(lái)生產(chǎn)，但是這樣做的成本，諸如制造價(jià)格、芯片的功率消耗或熱輸出等其他重要因素，基本上不會(huì)受到影響。

Rambus的Ben Levine同意了。

“與其他一切相比，安全核心很小，”他說(shuō)?！皩?duì)芯片，功率或散熱要求的成本確實(shí)沒(méi)有顯著影響。如果你仔細(xì)設(shè)計(jì)的話，你可以在一個(gè)非常小的邏輯區(qū)域做很多事情。我們的目標(biāo)是簡(jiǎn)單，如果你保持簡(jiǎn)單，你就保持小。如果它很小，那就是低功耗。”

他唯一需要注意的是，在像物聯(lián)網(wǎng)中使用的更小，更低功耗的設(shè)備中，Rambus的安全核心將對(duì)功率和成本產(chǎn)生更大的影響。這就是ARM更模塊化的方法可能出現(xiàn)的地方。

大，小，安全

ARM是在同一個(gè)處理器中使用大CPU、小CPU或大內(nèi)核和小內(nèi)核的早期先驅(qū)。今天，它也是高通公司和蘋(píng)果公司移動(dòng)設(shè)備中的一個(gè)常見(jiàn)功能。當(dāng)需要時(shí)，它可以看到用于重載提升的較大CPU內(nèi)核，而較小的內(nèi)核可以處理更常見(jiàn)的任務(wù)，從而節(jié)省電力。ARM的方法基于這樣一個(gè)思想，即在主芯片中建立信任的基礎(chǔ)，以及在更廣泛的設(shè)備陣列中使用的更小的微控制器。

Coobs向Digital Trends解釋說(shuō)：“我們定義了一個(gè)叫做psa（平臺(tái)安全架構(gòu)）的信任根，其中包含一些基本的安全功能，如加密、安全引導(dǎo)、安全存儲(chǔ)；每個(gè)物聯(lián)網(wǎng)設(shè)備都需要這些功能。

在所有主要的芯片制造商中，Arm可能是受幽靈和崩潰影響最小的。英特爾最容易遭受最廣泛的潛在攻擊，AMD不得不發(fā)布大量的微碼和軟件調(diào)整，在證實(shí)投機(jī)性執(zhí)行錯(cuò)誤之前，Arm能夠支撐其已經(jīng)強(qiáng)大的防御措施。

現(xiàn)在，Arm正致力于保護(hù)物聯(lián)網(wǎng)。Coombs認(rèn)為，一個(gè)安全的核心，信任的根源是最好的方法之一，他希望看到每個(gè)物聯(lián)網(wǎng)設(shè)備都實(shí)現(xiàn)這樣的系統(tǒng)。為了實(shí)現(xiàn)這一目標(biāo)，Arm針對(duì)當(dāng)今物聯(lián)網(wǎng)開(kāi)發(fā)人員面臨的安全問(wèn)題提供了開(kāi)源軟件，開(kāi)發(fā)指南和硬件解決方案。

“我們已經(jīng)創(chuàng)建了一個(gè)開(kāi)源和參考實(shí)現(xiàn)，現(xiàn)在通過(guò)PSA認(rèn)證，我們已經(jīng)創(chuàng)建了一個(gè)多級(jí)安全方案，人們可以在該方案中選擇他們需要的安全穩(wěn)健性。”Coombs說(shuō)。“不同的系統(tǒng)需要不同的安全性。我們希望使其適合物聯(lián)網(wǎng)領(lǐng)域?！?/p>

將這些原則應(yīng)用于筆記本電腦和臺(tái)式機(jī)中的大型通用CPU，最終結(jié)果不會(huì)有太大差異。根據(jù)Rambus的Ben Levine的說(shuō)法，雖然這種芯片不會(huì)在大芯片旁邊有小的核心，但它們可以在芯片上實(shí)現(xiàn)安全的核心，而不會(huì)有太大的困難。

他說(shuō)：“這些核心應(yīng)該并且需要比英特爾或AMD芯片中的主要大CPU核心小得多?！彼皇?加1，而是8或任何核心處理器，以及一個(gè)或多個(gè)小型安全核心，為所有其他核心提供安全功能。

至關(guān)重要的是，這樣的核心實(shí)現(xiàn)起來(lái)甚至不復(fù)雜。

Julian Chokkattu ／數(shù)字趨勢(shì)

“我們不會(huì)在將新芯片納入消費(fèi)產(chǎn)品的芯片設(shè)計(jì)周期中增加太多，”他說(shuō)?！拔覀兊挠绊憣?huì)非常小。這將是一個(gè)正常的產(chǎn)品生命周期，即將芯片架構(gòu)開(kāi)發(fā)投入生產(chǎn)，然后再投入到運(yùn)輸產(chǎn)品中?！?/p>

把它帶給大眾

安全性可能是一個(gè)雞毛蒜皮的問(wèn)題，開(kāi)發(fā)人員不希望在沒(méi)有客戶特定需求或要求的情況下實(shí)施它。但是，如果硬件制造商將他們現(xiàn)有的CPU核心與安全的核心信任根相結(jié)合，那么軟件開(kāi)發(fā)人員的工作就相對(duì)容易了。

“根據(jù)應(yīng)用程序的不同，安全核心的大量使用將在操作系統(tǒng)和系統(tǒng)級(jí)別完成，而不是在應(yīng)用程序級(jí)別，”Levine解釋說(shuō)?！叭绻跇?gòu)建您的操作系統(tǒng)和整個(gè)系統(tǒng)軟件，那么您可以利用大部分安全功能，而無(wú)需應(yīng)用程序開(kāi)發(fā)人員擔(dān)心。您可以提供API來(lái)公開(kāi)應(yīng)用程序開(kāi)發(fā)人員可以輕松使用的一些安全核心功能，如加密和解密數(shù)據(jù)?！?/p>

英特爾

通過(guò)將信任的根源整合到硬件本身中，并將實(shí)現(xiàn)信任的責(zé)任留給操作系統(tǒng)，軟件開(kāi)發(fā)人員可以迅速?gòu)脑黾拥陌踩灾蝎@益，這些安全性可以應(yīng)用到計(jì)算的各個(gè)方面，包括避免幽靈及其同類的陷阱。

這可能是像英特爾和AMD這樣的公司到目前為止出現(xiàn)問(wèn)題的地方。盡管它們的補(bǔ)丁、微碼修復(fù)和硬件調(diào)整幫助緩解了一些類似幽靈的攻擊問(wèn)題，但它們都有自己的陷阱。性能已經(jīng)降低，在許多情況下，設(shè)備制造商不應(yīng)用可選補(bǔ)丁，因?yàn)樗麄儾幌胼數(shù)魟?dòng)力軍備競(jìng)賽。
相反，Rambus，Arm和其他人正在尋求完全避開(kāi)這個(gè)問(wèn)題。

“我們并不是在宣稱我們正在修復(fù)幽靈或熔化，我們所說(shuō)的首先是這些漏洞不是唯一的漏洞，”萊文說(shuō)?！翱倳?huì)有更多。現(xiàn)代處理器的復(fù)雜性使其不可避免。讓我們改變問(wèn)題，讓我們接受通用CPU中存在更多漏洞以及我們非常關(guān)心的事情，比如密鑰，憑據(jù)，數(shù)據(jù)，讓它從CPU中移出，讓我們繞過(guò)整個(gè)問(wèn)題?！?/p>

這樣，用戶可以相信他們的系統(tǒng)是安全的，而不必犧牲任何東西。信任硬件的根意味著任何被盜的數(shù)據(jù)對(duì)任何人都是無(wú)用的。它將幽靈的鬼魂留在冗余的陰暗境界，在那里它可以繼續(xù)困擾那些使用舊硬件的人。但是，隨著人們升級(jí)到新的，信任裝備的未來(lái)幾代硬件的根源，它將變得越來(lái)越無(wú)關(guān)緊要而且不那么令人擔(dān)憂。