|
摘要 在Hot Chips会议上,专家们呼吁开发新一代安全设计计算机架构。在这个发展方向上,微软和谷歌迈出了一小步,两家公司都研发出独立但相似的硬件安全架构。 今年1月份披露的Spectre/Meltdown漏洞使工程师们高兴地看到,投机性执行等数十年前的技术也可能成为旁道攻击的大门。仅红帽公司就花费了数万个工程小时修补了Linux中的这些缺陷,AMD、ARM、IBM和英特尔等芯片制造商正在进行的工作中的一小部分估计将花费数百万美元。 专家们表示,今天的补丁可以管理,但不会修复潜在的漏洞,而这些漏洞其中一些可能会持续多年。上周出现了新的攻击变种,预计在可预见的未来将继续出现。Google母公司Alphabet主席同时也是经验丰富的处理器架构师,John Hennessy在主题演讲中呼吁开启一个新的安全时代,其表示“有很多侧面渠道,关闭它们是不可能的......这是一整套需要改变的事情,这将需要很长时间”。 红帽公司为15个Linux版本的8个芯片架构开发了一套初始的Spectre/Meltdown补丁,这是一项耗时10000个小时的工程。负责监督红帽公司工作的Jon Masters表示,上周发现的新变种“已花费我们超过10000小时,部分原因是因为它们涉及内核和虚拟机管理程序。威斯康星大学麦迪逊分校计算机科学教授Mark Hill在小组讨论时表示,“我们需要计算机体系结构2.0来定义不会泄漏的计算——唯一的问题是我们不知道该怎么做。” 希尔提出了一个用于保护处理器的技术清单,例如隔离分支预测器、分区缓存和减少混叠。 “有很多可能性,但对我来说没有一个感觉良好,”他说,并指出安全问题是否可以修复或只是管理尚不清楚。 普林斯顿大学资深安全研究员Ruby Lee表示,“我很高兴听到约翰轩尼诗这样的人称之为安全时代——迟到总比没有好。这不仅仅是一次性修复一个问题——这就是安全行业倾向于做的事情...... [安全架构的第一个原则应该是]未经授权就无法访问。” 几位发言者呼吁在开源软件和硬件方面开展工作。马斯特斯表示,“我们已经看到很多针对机器中封闭的,无证件行为的微代码的攻击——很难相信你看不到的东西。” 图1 谷歌计划于明年启动一项计划,推动其Titan安全模块的开源版本,可能基于32位RISC-V核心 在单独会谈中,微软公司描述了用于其Azure IoT服务的Pluton安全模块和Google详细介绍的Titan,这是一个用于在其数据中心标记和保护系统的类似模块。尽管它们的目标非常不同,但这两种方法具有非常相似的原理和功能,以至于某位谷歌公司工程师建议两者有朝一日可能会融入一个标准。 Pluton和Titan都强制使用加密证书进行安全系统启动和设备识别。 两个芯片都包含随机数生成器和生成软件不可用的密钥所需的所有硬件块。此外,它们都使用电子熔丝设置来控制块的状态,以防止在制造和生命周期中被篡改。 这两种方法的最大区别之一是它们将如何进入市场。微软与Pliatek合作首次实施Pluton,旨在与其他MCU和SoC供应商合作宣布。 到目前为止,谷歌公司创建了两个Titan实现。其中一个是去年宣布保护其数据中心并在此详细描述的。另一个不太知名的版本今天被成千上万的谷歌员工用作USB加密狗中的第二因素身份验证。 谷歌正在组建一个标准组,可能会在明年开始实施Titan的开源工作,可能基于32位版本的RISC-V核心。该开放式变体适用于任何嵌入式或消费类产品。 谷歌希望所谓的Open Titan努力可以吸引像微软这样的其他人。合并后两者可能形成事实上的标准,随着时间的推移,可能会出现类似安全架构Hill和其他人描述的内容。然而,就今天而言,这个概念只是谷歌工程师眼中的一个收获。 在短期内,微软希望Pluton成为其Azure IoT云服务的卖点。从其他云服务提供商到MCU供应商的各种公司都有望推出自己的架构和实施。 好消息是在Spectre/Meltdown之后,工程师们积极构建更安全的产品。坏消息是,他们担心在客户愿意支付费用之前可能会遭受其他更痛苦的黑客攻击。 图2 微软的Pluton在谷歌的Titan上运行类似的块和功能,但到目前为止被视为该软件巨头的秘密物联网的一部分
|
|
|
