处理器“漏洞门”事件始末
这一问题最初是谷歌的Project Zero团队在2017年6月向英特尔、AMD、ARM公司通报的。Project Zero团队发现了一些由CPU Speculative Execution引发的芯片级漏洞,“Spectre(幽灵)”(变体1和变体2:CVE-2017-5753和CVE-2017-5715)和“Meltdown(熔断)”(变体3:CVE-2017-5754)。其中,Meltdown影响了从2010年开始生产的英特尔芯片,漏洞的根本原因是“预测执行”技术的设计缺陷,而Spectre则影响英特尔、AMD和ARM处理器,还可以通过隐藏在网页上的Java代码进行远程利用。这三个漏洞都是先天性质的架构设计缺陷导致的,可以让非特权用户访问到系统内存从而读取敏感信息。
“漏洞门”爆出后,一时间,世界哗然。由于该安全风险涉及各种不同架构(x86、 ARM,及其它架构)、不同厂商的处理器,是一个产业界跨众多厂商的问题,所以在获得Project Zero团队通报并对问题予以验证后, 英特尔、苹果、AMD、ARM 等硬件厂商以及微软等操作系统厂商、 固件厂商,迅速走到一起,在保密协议约束下展开合作,以保证在与Project Zero团队协议达成的问题披露期限到达之前开发出解决方案。
Meltdown和Spectre的发现者之一,奥地利格拉茨技术大学研究员Michael Schwarz(最左)和Daniel Gruss(最右)
一开始,业界认为这次“漏洞门”是英特尔的锅,英特尔也不得不出面公布最新安全研究结果及英特尔产品说明,公布受影响的处理器产品清单。事实上,随着事件的披露,ARM公开证实,许多Cortex系列处理器也存在漏洞。ARM的Cortex技术被用于各种各样的Android和iOS设备,部分Nvidia Tegra产品、高通骁龙芯片以及索尼的PlayStation Vita上。此期间,其他相关厂商,如高通、IBM、NVidia等先后发布公开声明,承认自己的产品也涉及此安全问题,并承诺尽力消除隐患。苹果也承认受到漏洞影响,称所有iPhone、iPad和Mac电脑均受波及,并表示已发布更新来修补漏洞。
种种迹象表明这应该是整个处理器芯片底层设计的行业性问题,并不是某一家存在的问题。因为这样的攻击机制,使得所有拥有分支预测、乱序执行、投机执行、缓存特性的现代处理器平台,都会遭到这样的攻击。
随后,英特尔率先针对过去5年中推出的大多数处理器产品发布了更新,最新的更新预计将覆盖过去5年内推出的90%以上的处理器产品。此外,许多操作系统供应商、公共云服务提供商、设备制造商和其他厂商也表示,他们正在或已对其产品和服务提供更新。
“漏洞门”是现代处理器架构的根本性缺陷?
现代计算机处理器通常使用“推测执行”(speculative execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。事实上,这两组漏洞来源于芯片厂商为了提高CPU性能而引入的新特性。现代CPU为了提高处理性能,会采用乱序执行(Out-of-Order Execution)和预测执行(Speculative Prediction)。乱序执行是指CPU并不是严格按照指令的顺序串行执行,而是根据相关性对指令进行分组并行执行,最后汇总处理各组指令执行的结果。预测执行是CPU根据当前掌握的信息预测某个条件判断的结果,然后选择对应的分支提前执行。
乱序执行和预测执行在遇到异常或发现分支预测错误时,CPU会丢弃之前执行的结果,将CPU的状态恢复到乱序执行或预测执行前的正确状态,然后选择对应正确的指令继续执行。这种异常处理机制保证了程序能够正确的执行,但是问题在于,CPU恢复状态时并不会恢复CPU缓存的内容,而这两组漏洞正是利用了这一设计上的缺陷进行测信道攻击。
国家信息安全漏洞共享平台(CNVD)对该漏洞的综合评级为“高危”。
CPU硬件的漏洞修复高难度, 仅通过CPU厂商进行安全更新(例如升级CPU微码)是无法解决这一问题,修复这些漏洞需要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、CPU厂商一起协作并进行复杂且极其深入的修改,才能彻底解决问题。目前各大处理器厂商及系统厂商先后都已先后作出回应,积极采取措施,发布安全公告,并及时推出缓解措施和修复补丁。
针对该漏洞,上海市网信办采取了应急处置措施。一是密切跟踪该漏洞的最新情况,及时评估漏洞对本单位系统的影响。二是对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试,在做好全面审慎的评估工作基础上,制定修复工作计划,及时安装。三是进一步加强关键信息基础设施网络安全防护工作,加强网络安全防护和威胁情报收集工作,发生网络安全事件及时向市网信办报告。
打补丁将导致CPU性能损耗30%?
由于是现代处理器架构的设计缺陷,因此面对“崩溃”以及“幽灵”的攻击时业界也束手无策,只能靠软件来防护,但是这样做会消耗部分计算资源,以至于降低处理器功效。
根据英特尔10号公布的有关第六、七和八代英特尔®酷睿™处理器平台(使用Windows* 10)的性能数据结果显示,对于大部分普通电脑用户来说,性能的影响并不显著。
对于配备固态存储设备的第八代酷睿平台(Kaby Lake、Coffee Lake),防御措施对性能的影响很小。在各种工作负载上,包括SYSMark2014SE基准测试中所代表的办公软件和媒体制作在内,预计影响不到6%。在特定情况下,用户可能受到更大影响。例如,使用涉及复杂的Javascript操作的Web应用的用户可能受到更大影响(我们的初步测试表明,最高可达10%)。游戏等图形密集型工作负载或财务分析等计算密集型工作负载受到的影响最低。
第七代Kaby Lake-H高性能移动平台受到的影响,与第八代平台相似(在SYSMark2014SE基准测试中大约为7%)。
对于第六代Skylake-S平台,性能所受影响稍高,但与第八代、第七代平台所受影响仍然大体上一致(在SYSMark2014SE基准测试中大约为8%)。在常见操作系统Windows 7,尤其是在办公环境中影响很小(在SYSMark2014SE基准测试中大约为6%),甚至低于配备硬盘的系统。
此外,有一些用户出现在采用固件更新之后,系统重启次数增多的问题。对此英特尔回应说,这些系统运行英特尔Broadwell和Haswell处理器,涵盖客户端和数据中心设备。英特尔正与这些客户迅速合作,以了解、诊断并解决这一重启问题。如果需要英特尔将发布修改固件更新。
针对“打补丁将导致CPU性能损耗30%”的说法,360核心安全事业部总经理、Vulcan团队负责人郑文彬的观点是这是比较极端的情况,不能一概而论。30%的性能损失是在比较极端的专门测试情况下出现的。通常的用户使用情况下,尤其在用户的电脑硬件较新的情况下(例如绝大部分在售的Mac电脑和笔记本、32位X86操作系统),这些补丁的性能损失对用户来说是几乎可以忽略不计。接下来包括微软、Intel在内的厂商还会进一步推出针对性的补丁,进一步降低补丁对性能的损耗。
未爆发安全问题的国产处理器,切不可高枕无忧
由于国外的x86,ARM,Power等主流处理器架构均已证明存在漏洞,国内自主架构处理器又如何?目前,中国CPU发展可以分为两条路线。一条是自主路线,以龙芯与申威为代表,申威自定义了SW64指令集,龙芯基于MIPS扩展出来的LoonISA,自主设计CPU的内核,以及内存控制器等IP,并且一直在坚持创建自己的生态系统。
另一条是技术引进路线,购买国外CPU的IP授权,并借助现有的生态系统开拓市场。比如华为和展讯从ARM公司购买IP做集成,依附于AA体系的生态系统;华芯通购买高通的授权开发芯片,依附于AA体系的生态系统;澜起购买Intel的内核外加一个安全模块做安全芯片,依附于Wintel体系;宏芯购买了IBM Power8的授权开发CPU,寄希望于IBM主导的Open Power。
对此集微网曾尝试与君正、龙芯等几家国内主要的处理器厂商联系,然而国内厂商不约而同的沉默了。
不过集微网还是发现了一些信息。
9号投资者在互动平台上向北京君正提问:君正芯的每一行代码都是自己写的,是中国真正的自主芯片,无安全之忧,该说法是否属实?君正回应,公司芯片是架构授权,自主研发的CPU核,确实属于自主可控。
同一天投资者也问了中科曙光,后者表示,曙光云目前尚未收到任何关于利用该漏洞攻击用户的信息,曙光云本着对客户高度负责的态度,第一时间成立应急小组,持续监控平台性能并积极响应客户反馈。
龙芯、中天微则以不方便回答拒绝了采访。
比起其他厂商的缄默,兆芯显得格外高调。该公司曾声称,在兆芯处理器中,对任何推测执行都进行严格的权限检查,从根本上避免了这类的攻击利用的漏洞。颇有意味的是,很快兆芯撤回了该声明。
在处理器市场,国外品牌和架构占据了绝大多数市场。在PC和笔记本电脑市场,根据 PassMark的报告,在2017年第二季度,英特尔
的市场份额为69%,AMD为31%。在服务器市场,根据市场研究机构IDC的数据,英特尔在数据中心领域的市场份额高达98%。亚马逊 AWS、微软 Azure、阿里云等领先的公有云服务都大量使用了英特尔的处理器。AMD和ARMv8各1%左右。国产处理器市场份额仍然很低,目前应用市场主要是超级计算机与安全保密计算机、政企等专用市场,十分“小众”。在手机处理器市场也同样如此。
图源: Counterpoint
处理器的发展本身就是发现漏洞与打补丁修正漏洞的过程,问题只在于漏洞是由黑客发现还是厂商自己发现,黑客或安全厂商的存在从侧面也加速了处理器产业的升级换代,处理器产业与安全产业本身就是竞争和合作的关系,这是产业发展的两极。虽然目前国产处理器从未爆发安全漏洞问题,未必说明不存在。手机中国联盟秘书长王艳辉指出,这只能说没有得到黑客或安全厂商的关注,还没有形成第三条讲到的良性竞合关系,这一点只能说明中国处理器产业的弱小,没有引起注意或不值得关注。
清华大学微电子研究所所长魏少军教授在接受中国电子报采访时表示,到目前为止,还没有国内企业承认自己的产品存在类似的漏洞。这有可能是根本就不清楚自己是否被波及到了,也有可能是知道了不说,但更可能是在产品设计中还没有采用乱序执行和分支预测等技术。这可以让我们从侧面探窥国产CPU产品性能之所以远远落后国际同行的原因。
他指出,我国在保障计算机信息安全方面还停留在查毒杀毒等被动防御层面,在主动防御上建树不多。这次“CPU漏洞门”事件提醒我们:现在是时候扭转一下发展思路了,要变“被动防御”为“主动防御”。同时也应该重新审视自己,中国的CPU发展由于发展水平不高,有可能侥幸绕过了“熔断”和“幽灵”的影响,但不等于今后就可以高枕无忧。
魏少军强调,我们的CPU企业应该在基础技术上继续追赶的同时,在架构创新上有所作为,思考新的CPU产品如何彻底避免此类架构和运行机制上的漏洞。在这个问题上,我国企业与国外企业处在同一起跑线上,如果抓住机遇,有可能实现国产CPU的一次大幅度进步。
清华大学微电子研究所所长魏少军教授在接受中国电子报采访时表示,到目前为止,还没有国内企业承认自己的产品存在类似的漏洞。这有可能是根本就不清楚自己是否被波及到了,也有可能是知道了不说,但更可能是在产品设计中还没有采用乱序执行和分支预测等技术。这可以让我们从侧面探窥国产CPU产品性能之所以远远落后国际同行的原因。
他指出,我国在保障计算机信息安全方面还停留在查毒杀毒等被动防御层面,在主动防御上建树不多。这次“CPU漏洞门”事件提醒我们:现在是时候扭转一下发展思路了,要变“被动防御”为“主动防御”。同时也应该重新审视自己,中国的CPU发展由于发展水平不高,有可能侥幸绕过了“熔断”和“幽灵”的影响,但不等于今后就可以高枕无忧。
魏少军强调,我们的CPU企业应该在基础技术上继续追赶的同时,在架构创新上有所作为,思考新的CPU产品如何彻底避免此类架构和运行机制上的漏洞。在这个问题上,我国企业与国外企业处在同一起跑线上,如果抓住机遇,有可能实现国产CPU的一次大幅度进步。
不论如何,对处理器设计者而言,在下一代的处理器设计上,是否要从最基本的架构开始进行重新设计?这将是必须思考的问题。这一次的“漏洞门”,让整个科技圈进入一个前所未有的合作氛围中,正如英特尔CEO科再奇在公开信中强调:“每个人扮演的角色都非常重要,只有坚持合作,才能创造最快、最高效的途径,来恢复客户对其数据安全的信心。”
会员中心
