处理器熔断、幽灵漏洞最新研究，技术人员给出详细纠错报告

在最近的 Decoding Formal 会议上，Oski 再次发表演讲，讨论了臭名昭着的“熔断”和“幽灵”缺陷以及发现这些错误及其相关问题时所用的形式化方法。到目前为止，我并没有投入太多的精力去理解这些缺陷，我的理解仅限于人们所谓的“缓存和预测执行”，然后我发现这个话题很具有教育意义（考虑到我并不是一名处理器专家）。

这次演讲的发言人是来自 Rambus 公司的 Mike Hamburg，他与 Google ProjectZero 等其它团队一起参与了对这些漏洞的研究（研究结果总结如上图所示）。在这里，从他用过的一个例子开始，我们讨论一下他在演讲中提到的“熔断”漏洞。看看下面这行代码：

result = foo [bar [i] * 256];

从逻辑的角度来看，要执行这个操作，首先需要查找以 i 为下标的 bar[i]的值，然后乘以 256，以计算结果为下标查找数组 foo 中的具体成员，最后将之赋值给 result。但在实际操作中，即便在一个小的操作系统中，只要区分了内核模式和用户模式，那么，一个用户模式进程尝试访问仅限于内核访问的内存时，便会引发边界检查错误，这是在内存上实现数据安全的一种方式。只有受信任的进程才能访问特权区域。特别是在云端运行的虚拟机上，你希望进程之间存在一些这种类型的壁垒，我看不到你的东西，你也不能看我的东西。

但是，我们希望运行速度能够非常快，这时就不能采用上述逻辑角度中次第运算的方式了。相反，处理器每个时钟周期会同时运行多条指令，可能会同时执行 100 项甚至更多操作，还允许后面的指令在当前指令之前执行。在这种预测执行中，处理器合理地假定他们已经拥有了操作数据，这些数据要么已经存在于缓存中，要么会触发预取，或者执行分支预测以及一系列猜测。当程序计数器更新到分支位置时，如果之前的分支预测准确，那么便可以直接执行，如果预测错误，处理器必须回滚并重新执行。尽管可能存在预测错误，并造成随之而来的回滚，但是总体来说，预测准确性足够高，大部分程序可以比次第执行运行得更快。

正如 Mike 所指出的那样，问题在于回滚操作是体系结构性的，而不是微架构性的。当预测执行的指令最终确认是错误的，处理器会回滚相应的指令重新执行，但是在预测执行期间发生的其它事情就覆水难收了。数据会被提取到缓存中，分支预测器也会得到更新，缓存中的这些数据的安全性怎么保证？鬼才管它呢！毕竟它不会影响程序的执行结果不是。而且，这里的缓存预取甚至可以被证明是有好处的，它往往会在后面的操作中节省执行时间。

这就是“熔断”漏洞发生的地方，但是它会通过缓存时序旁路攻击，以一种相当微妙的方式暴露出来。Daniel Bernstein 在 2005 年表示，可以通过这种攻击方式提取 AES 加密算法中的密钥数据，方法很简单，通过一组已知的明文样本，对这些数据进行一个简单分析，然后用一个精确的定时器测量它们的加密时间，就可以提取出密钥来。在具有缓存的系统中，这些样本的加密时间有所不同，这些时间最终会泄露出相关信息，只要在系统中运行足够的数据，就可以重建密钥。

我们当然希望这只是 AES 上的一个孤立问题，但是实际上，这种类型的攻击面相当广泛，绝不仅仅局限在获得加密算法的密钥上。Mike 表示，如果不采取一些有效措施，支持熔断漏洞的攻击可以读取所有用户内存。一个防御措施（特别是在云端）是每个进程均使用单独的内存页表，这种方式在现代服务器级别的 CPU 上可能不是什么大问题，但是在旧 CPU 上可能会有 30%左右的性能损失。

另一种方法是保证所有内存的访问时间相同，至少在一些特定域上相同，或者在不会在关键操作上执行边界检查的情形下禁止预测。实际上，考虑到现代处理器体系结构相当复杂，预防或者预测攻击可能发起的路径并不容易。在 Mike 看来，形式性方法可以在检测潜在问题上发挥重要作用，不过他认为这种方法仅适用于今天的小型内核，服务器级内核还没有有效的方法，不过我相信处理器专家大拿们正在努力研究并解决这个问题。

处理器的漏洞防御可以从为隐蔽通道设定相关约定开始 - 什么可以做，什么不可以做。Mike 认为，不可能采用地毯式的尝试让所有的攻击失效，除非完全禁止预测，否则不可能完全防御攻击。尽管如此，我们依然可以在小型处理器上定义一些约定，约束通用操作和与特权 / 安全相关的操作，并将那些无法提供这些保证的情形特征化。然后，可以由一个严谨小心的程序员以一种不受攻击影响的方式编写代码，或者至少使其不那么敏感。

Mike 以一些普遍的现象结束了其演讲。如果没有禁止预测执行，我们可能需要仔细分析隐秘通道。也许我们需要依赖速度更慢但更加安全的代码（即使是在预测中也执行内存访问检查 - 我听说 AMD 已经在这么做了）。我们还需要为任何形式的外部代码（特权代码或非特权代码）均无法访问的安全区域制定更多计划。在我看来，似乎 Mike 也不清楚今天的 TrustZone 或类似系统是否可以满足这种需求。当然，现在人们似乎越来越希望在单独的内核中（即使仍然是以软件形式运行）执行加密，或者以可以抵御旁路攻击的专门指令执行加密。我认为，人们对可以进一步抵御攻击的方案的兴趣很大。

更多有关处理器漏洞的资讯，欢迎访问与非网处理器漏洞专区

与非网编译内容，未经许可，不得转载！

器件型号	数量	器件厂商	器件描述	ECAD模型	参考价格	更多信息
MCF52259CAG80	1	Freescale Semiconductor	32-BIT, FLASH, 80MHz, RISC MICROCONTROLLER, PQFP144, 20 X 20 MM, ROHS COMPLIANT, LQFP-144	ECAD模型下载ECAD模型	$17.28	查看
ATXMEGA32A4U-AUR	1	Atmel Corporation	RISC Microcontroller, 16-Bit, FLASH, AVR RISC CPU, 32MHz, CMOS, PQFP44, 10 X 10 MM, 1 MM HEIGHT, 0.80 MM PITCH, GREEN, PLASTIC, MS-026ACB, LQFP-44	ECAD模型下载ECAD模型	$13.97	查看
STM32F429IET6	1	STMicroelectronics	High-performance advanced line, Arm Cortex-M4 core with DSP and FPU, 512 Kbytes of Flash memory, 180 MHz CPU, ART Accelerateur, Chrom-ART Accelerator, FMC with SDRAM, TFT	ECAD模型下载ECAD模型	$23.92	查看

器件型号

数量

器件厂商

器件描述

数据手册

ECAD模型

风险等级

参考价格

更多信息

MCF52259CAG80

Freescale Semiconductor

32-BIT, FLASH, 80MHz, RISC MICROCONTROLLER, PQFP144, 20 X 20 MM, ROHS COMPLIANT, LQFP-144

$17.28

查看

ATXMEGA32A4U-AUR

Atmel Corporation

RISC Microcontroller, 16-Bit, FLASH, AVR RISC CPU, 32MHz, CMOS, PQFP44, 10 X 10 MM, 1 MM HEIGHT, 0.80 MM PITCH, GREEN, PLASTIC, MS-026ACB, LQFP-44

$13.97

查看

STM32F429IET6

STMicroelectronics

High-performance advanced line, Arm Cortex-M4 core with DSP and FPU, 512 Kbytes of Flash memory, 180 MHz CPU, ART Accelerateur, Chrom-ART Accelerator, FMC with SDRAM, TFT

$23.92

查看

处理器熔断、幽灵漏洞最新研究，技术人员给出详细纠错报告

推荐器件

相关推荐

电子产业图谱