還記得去年的Spectre和Meltdown的安全漏洞嗎？英特爾和AMD真的不希望這樣。他們希望你理解，這些投機(jī)的執(zhí)行漏洞不會消失，至少目前為止還沒有提出解決方案。

永久性的修復(fù)將需要對CPU的設(shè)計方式進(jìn)行根本性地更改，而不是嘗試修復(fù)隨附的每個變體。這個提議－一個“安全核心”，確保您的數(shù)據(jù)不會受到攻擊者的攻擊，無論他們試圖利用什么漏洞。

這可能不是這些大型處理器公司想要走的路線，但它可能是唯一一條能夠?qū)崿F(xiàn)的路線。

從根開始

當(dāng)新一代處理器推出時，每個人都會問的第一個問題是，“它有多快？”“更多的兆赫、更多的核心、更多的緩存，所有這些都可以使應(yīng)用程序運行更快，游戲性能更好。第二個考慮因素可能是電力需求或熱輸出，但很少有人問安全性。

問題在于，過去幾年的性能提升主要是由推測預(yù)測推動的，即CPU會猜測你下一步要做什么，并準(zhǔn)備好你可能需要的一切。這對于性能來說非常好，但正如Spectre及其變體所示，對于安全性來說非常糟糕。

Malwarebytes高級安全研究公司Jean－Philippe Taggart告訴Digital Trends，“投機(jī)執(zhí)行已經(jīng)成為CPU性能優(yōu)化的一個長期特征?！彼忉尩溃沁@個特性使得英特爾和其他公司的CPU容易受到幽靈和類似攻擊。他說：“CPU架構(gòu)需要重新考量，要么保留這些性能并增強(qiáng)它們，要么保護(hù)它們免受幽靈之類的攻擊，要么完全消除它們?！?/p>

一個潛在的解決方案是為下一代CPU添加新的硬件。與處理高馬力處理核心上的敏感任務(wù)不同，如果芯片制造商將這些核心與一個專門為此類任務(wù)設(shè)計的額外核心結(jié)合在一起會怎么樣？

這樣做可能會使Spectre及其變體成為新硬件的問題。明天的主要CPU核心是否容易受到此類攻擊并不重要，因為這些核心不再處理私有或安全信息。

信任的根源不僅僅是一個粗略的輪廓。在某些情況下，它已經(jīng)是一個可行的產(chǎn)品，所有像英特爾或AMD這樣的主要芯片公司都需要利用它，就是采用它。

回避幽靈

Rambus產(chǎn)品管理高級總監(jiān)Ben Levine在被問及持續(xù)的幽靈變種威脅時告訴Digital Trends：“如果你總是被動的，必須等待安全漏洞，然后再修復(fù)它們，那么在安全方面就很困難了?！薄霸噲D使復(fù)雜處理器安全的問題確實是一個困難的方法。這就是我們提出的將安全關(guān)鍵功能移動到單獨核心的方法?！?/p>

Rambus產(chǎn)品管理高級總監(jiān)Ben Levine

雖然不是第一個提出這樣一個想法的人，但Rambus已經(jīng)對它進(jìn)行了改進(jìn)。它的CryptoManager Root of Trust是一個獨立的核心，可以放在一個主要的CPU芯片上，有點像許多移動處理器中的big．little概念，甚至是英特爾自己的新Lakefield設(shè)計。但是，如果這些芯片使用較小的內(nèi)核來節(jié)省能源，那么安全的核心信任根將首先關(guān)注安全性。

它可以將處理器與加密加速器以及自己的安全內(nèi)存結(jié)合起來，而不需要考慮主要CPU的某些方面。這將是一個相對簡單的設(shè)計，相比于今天運行我們的計算機(jī)的可怕的通用CPU，但這樣做會更安全。

在保護(hù)自身的過程中，安全核心可以承擔(dān)最敏感的任務(wù)，而一般用途的CPU核心通常會處理這些任務(wù)。安全加密密鑰、驗證銀行事務(wù)、處理登錄嘗試、在安全內(nèi)存中存儲私有信息或檢查啟動記錄在啟動期間未損壞。

所有這些都有助于提高使用它的系統(tǒng)的總體安全性。更好的是，由于它將缺乏推測性的性能增強(qiáng)，它將完全安全地抵御類似幽靈的攻擊，使它們失效。這些攻擊仍然可以對主CPU核心進(jìn)行攻擊，但由于它們不會處理任何值得竊取的數(shù)據(jù)，因此無關(guān)緊要。

“我們的想法不是設(shè)計出一個做每件事都非?？焖俸桶踩腃PU，而是可以讓我們針對不同的目標(biāo)分別優(yōu)化不同的內(nèi)核?！?Levine解釋說。“讓我們優(yōu)化我們的主CPU以獲得性能或更低的功耗，無論對于該系統(tǒng)重要的是什么，優(yōu)化另一個核心以實現(xiàn)安全性是必要的?，F(xiàn)在，我們有了這兩個單獨優(yōu)化的處理域，并且考慮到計算和系統(tǒng)的特點，在其中任何一個域中進(jìn)行處理都是最合適的?！?/p>

這樣的核心操作起來有點像蘋果在iMac上推出的t2協(xié)處理器芯片，后來在2018年實施。

安全，但成本是多少？

人們常說復(fù)雜性是安全的敵人。這就是Rambus提出的安全核心設(shè)計相對簡單的原因。并不像臺式機(jī)或筆記本電腦中的典型CPU那樣，是一個具有多核和高時鐘速度的大而可怕的芯片。

那么，這是否意味著如果將這樣的核心與現(xiàn)代芯片一起使用，我們會犧牲性能？不一定。
從安全核心的概念來看，無論是Rambus的CryptoManager信任根，還是來自另一家公司的類似設(shè)計，重要的是它只會執(zhí)行專注于隱私或安全的任務(wù)。您不需要它在游戲過程中接管圖形卡，或在Photoshop中調(diào)整圖像。您可能更喜歡它來處理通過聊天應(yīng)用加密您的消息。這就是專用硬件可以在安全性之外獲得一些好處的地方。

Levine說：“加密算法、加密或解密算法（如AES）或使用公鑰算法（如RSA或橢圓曲線）等，這些操作在軟件中的執(zhí)行速度相對較慢，但安全核心可以有硬件加速器來更快地執(zhí)行這些操作?！?/p>

這是Arm的物聯(lián)網(wǎng)安全負(fù)責(zé)人，Rob Coombs非常贊同。

“通常信任的根源將構(gòu)建在加密加速器中，因此需要更多的芯片，但其好處在于，它對加密函數(shù)等功能具有更高的性能，因此您不需要僅僅依靠處理器來執(zhí)行文件的常規(guī)加密?！彼f?！疤幚砥骺梢栽O(shè)置它，然后加密引擎可以咀嚼數(shù)據(jù)并對其進(jìn)行加密或解密。你將獲得更高的性能?！?/p>

像英特爾這樣的現(xiàn)代處理器確實有自己的加密加速器，因此，在這種情況下，加密或解密從根本上來說可能不會比通用CPU完成相同任務(wù)更快，但這是可以比較的。

Rob Coombs，ARM物聯(lián)網(wǎng)安全主管

盡管Coombs在他與我們的談話中強(qiáng)調(diào)，信任核心的根源需要一些額外的硅片來生產(chǎn)，但是這樣做的成本，諸如制造價格、芯片的功率消耗或熱輸出等其他重要因素，基本上不會受到影響。

Rambus的Ben Levine同意了。

“與其他一切相比，安全核心很小，”他說?！皩π酒β驶蛏嵋蟮某杀敬_實沒有顯著影響。如果你仔細(xì)設(shè)計的話，你可以在一個非常小的邏輯區(qū)域做很多事情。我們的目標(biāo)是簡單，如果你保持簡單，你就保持小。如果它很小，那就是低功耗?！?/p>

他唯一需要注意的是，在像物聯(lián)網(wǎng)中使用的更小，更低功耗的設(shè)備中，Rambus的安全核心將對功率和成本產(chǎn)生更大的影響。這就是ARM更模塊化的方法可能出現(xiàn)的地方。

大，小，安全

ARM是在同一個處理器中使用大CPU、小CPU或大內(nèi)核和小內(nèi)核的早期先驅(qū)。今天，它也是高通公司和蘋果公司移動設(shè)備中的一個常見功能。當(dāng)需要時，它可以看到用于重載提升的較大CPU內(nèi)核，而較小的內(nèi)核可以處理更常見的任務(wù)，從而節(jié)省電力。ARM的方法基于這樣一個思想，即在主芯片中建立信任的基礎(chǔ)，以及在更廣泛的設(shè)備陣列中使用的更小的微控制器。

Coobs向Digital Trends解釋說：“我們定義了一個叫做psa（平臺安全架構(gòu)）的信任根，其中包含一些基本的安全功能，如加密、安全引導(dǎo)、安全存儲；每個物聯(lián)網(wǎng)設(shè)備都需要這些功能。

在所有主要的芯片制造商中，Arm可能是受幽靈和崩潰影響最小的。英特爾最容易遭受最廣泛的潛在攻擊，AMD不得不發(fā)布大量的微碼和軟件調(diào)整，在證實投機(jī)性執(zhí)行錯誤之前，Arm能夠支撐其已經(jīng)強(qiáng)大的防御措施。

現(xiàn)在，Arm正致力于保護(hù)物聯(lián)網(wǎng)。Coombs認(rèn)為，一個安全的核心，信任的根源是最好的方法之一，他希望看到每個物聯(lián)網(wǎng)設(shè)備都實現(xiàn)這樣的系統(tǒng)。為了實現(xiàn)這一目標(biāo)，Arm針對當(dāng)今物聯(lián)網(wǎng)開發(fā)人員面臨的安全問題提供了開源軟件，開發(fā)指南和硬件解決方案。

“我們已經(jīng)創(chuàng)建了一個開源和參考實現(xiàn)，現(xiàn)在通過PSA認(rèn)證，我們已經(jīng)創(chuàng)建了一個多級安全方案，人們可以在該方案中選擇他們需要的安全穩(wěn)健性?！盋oombs說。“不同的系統(tǒng)需要不同的安全性。我們希望使其適合物聯(lián)網(wǎng)領(lǐng)域?！?/p>

將這些原則應(yīng)用于筆記本電腦和臺式機(jī)中的大型通用CPU，最終結(jié)果不會有太大差異。根據(jù)Rambus的Ben Levine的說法，雖然這種芯片不會在大芯片旁邊有小的核心，但它們可以在芯片上實現(xiàn)安全的核心，而不會有太大的困難。

他說：“這些核心應(yīng)該并且需要比英特爾或AMD芯片中的主要大CPU核心小得多。”它不是7加1，而是8或任何核心處理器，以及一個或多個小型安全核心，為所有其他核心提供安全功能。

至關(guān)重要的是，這樣的核心實現(xiàn)起來甚至不復(fù)雜。

Julian Chokkattu ／數(shù)字趨勢

“我們不會在將新芯片納入消費產(chǎn)品的芯片設(shè)計周期中增加太多，”他說?！拔覀兊挠绊憣浅Ｐ?。這將是一個正常的產(chǎn)品生命周期，即將芯片架構(gòu)開發(fā)投入生產(chǎn)，然后再投入到運輸產(chǎn)品中。”

把它帶給大眾

安全性可能是一個雞毛蒜皮的問題，開發(fā)人員不希望在沒有客戶特定需求或要求的情況下實施它。但是，如果硬件制造商將他們現(xiàn)有的CPU核心與安全的核心信任根相結(jié)合，那么軟件開發(fā)人員的工作就相對容易了。

“根據(jù)應(yīng)用程序的不同，安全核心的大量使用將在操作系統(tǒng)和系統(tǒng)級別完成，而不是在應(yīng)用程序級別，”Levine解釋說?！叭绻跇?gòu)建您的操作系統(tǒng)和整個系統(tǒng)軟件，那么您可以利用大部分安全功能，而無需應(yīng)用程序開發(fā)人員擔(dān)心。您可以提供API來公開應(yīng)用程序開發(fā)人員可以輕松使用的一些安全核心功能，如加密和解密數(shù)據(jù)?！?/p>

英特爾

通過將信任的根源整合到硬件本身中，并將實現(xiàn)信任的責(zé)任留給操作系統(tǒng)，軟件開發(fā)人員可以迅速從增加的安全性中獲益，這些安全性可以應(yīng)用到計算的各個方面，包括避免幽靈及其同類的陷阱。

這可能是像英特爾和AMD這樣的公司到目前為止出現(xiàn)問題的地方。盡管它們的補(bǔ)丁、微碼修復(fù)和硬件調(diào)整幫助緩解了一些類似幽靈的攻擊問題，但它們都有自己的陷阱。性能已經(jīng)降低，在許多情況下，設(shè)備制造商不應(yīng)用可選補(bǔ)丁，因為他們不想輸?shù)魟恿妭涓傎悺?br/>相反，Rambus，Arm和其他人正在尋求完全避開這個問題。

“我們并不是在宣稱我們正在修復(fù)幽靈或熔化，我們所說的首先是這些漏洞不是唯一的漏洞，”萊文說?！翱倳懈唷，F(xiàn)代處理器的復(fù)雜性使其不可避免。讓我們改變問題，讓我們接受通用CPU中存在更多漏洞以及我們非常關(guān)心的事情，比如密鑰，憑據(jù)，數(shù)據(jù)，讓它從CPU中移出，讓我們繞過整個問題。“

這樣，用戶可以相信他們的系統(tǒng)是安全的，而不必犧牲任何東西。信任硬件的根意味著任何被盜的數(shù)據(jù)對任何人都是無用的。它將幽靈的鬼魂留在冗余的陰暗境界，在那里它可以繼續(xù)困擾那些使用舊硬件的人。但是，隨著人們升級到新的，信任裝備的未來幾代硬件的根源，它將變得越來越無關(guān)緊要而且不那么令人擔(dān)憂。