Intel предложила концепцию памяти с защитой от «спекулятивных» атак

С самого начала 2018 года началось буквально нашествие уязвимостей в процессорных микроархитектурах, парад которых открыли Meltdown и Spectre. Позже исследователи в сфере информационной безопасности добавили к ним L1TF, SGXSpectre, SWAPGSAttack, Zombieload, MDS и другие уязвимости, которые были открыты при изучении атак по сторонним (побочным) каналам на механизмы спекулятивных вычислений процессорами.

Эти и ещё не открытые уязвимости годами и даже десятилетиями таились в алгоритмах предсказания ветвлений и в других механизмах обработки и хранения данных процессором. Просто до них, наконец, дошли руки исследователей, и вся стройная система высокой производительности процессоров на основе спекулятивной обработки данных дала сбой. Заплатки как-то решают эту проблему, но при этом ощутимо снижают производительность процессоров. Как с этим бороться, пока никто не знает, но в Intel уже пару лет разрабатывают варианты для эффективной защиты от атак по сторонним каналам. Одним из таких подходов может стать концепция защищённой памяти со спекулятивным доступом (SAPM, Speculative-Access Protected Memory).

Полностью документ с предложением по SAPM можно найти по этой ссылке. Пока это только концепция без деталей и конкретной реализации, не говоря уже о воплощении в кремнии. Разработкой концепции занимается элитное подразделение специалистов по безопасности компании Intel под аббревиатурой STORM (STrategic Offensive Research & Mitigations). Подразделение STORM создано в компании в 2017 году с целью противодействовать уязвимостям и угрозам современным вычислительным платформам.

Идея SAPM заключается в том, чтобы заменить в процессоре память на такую, которая могла бы на уровне инструкций с помощью специального атрибута переводить процессор в режим последовательного исполнения команд при выполнении спекулятивных вычислений. Тогда без удовлетворительного возврата SAPM-инструкции иное спекулятивное действие (кроме инструкций SAPM) могло бы быть приостановленным и удалённым, если оно не является доверенным.

В команде STORM признают, что подобные действия всё равно приведут к снижению производительности процессоров, но оно будет не таким значительным, как сегодня с использованием программных заплаток против Meltdown, Spectre и других уязвимостей. В конечном итоге основные механизмы по защите от атак по сторонним каналам переедут в процессор в виде аппаратных блоков и это поможет вернуть производительность до приемлемого уровня.

Базовым для реализации концепции SAPM исследователи считают то, что атаки по сторонним каналам грубо и условно можно разделить на клиентскую и серверную части (frontend и backend). Механизмы атаки, исполняемые на стороне «сервера» ― в процессоре, во многом похожи друг на друга и поэтому возможно создание универсального аппаратного блока (архитектуры) для смягчения этой угрозы. Подробнее о концепции можно узнать по этой ссылке (документ на английском языке).

Источник ^[1]

Источник ^[2]