在今年的Hot Chips 2018大会上,业界专家们呼吁打造新一代安全设计的电脑。包括微软(Microsoft)和Google分别描述彼此不同但结构类似的硬体安全架构,朝此方向迈出了重要的一步。cJcesmc
在今年初揭露Spectre/Meltdown安全漏洞后,唤醒工程师开始意识到诸如推测执行(speculative execution)等数十年来的老技术也可能为旁道攻击敞开大门。光是一家红帽(Red Hat)公司就得花费数万个工程小时来修补Linux中的缺陷。此外,像AMD、ARM、IBM和英特尔(Intel)等芯片制造商还必须进行一小部份的工作,估计业界将因此损失数百万美元。cJcesmc
专家表示,当今的增补程式虽然解决了问题,但无法修复潜在的漏洞,导致其中一些可能会持续存在多年。在上周甚至出现了新的攻击变种,预计在可预见的未来还将继续出现。cJcesmc
专家呼吁新一代电脑架构cJcesmc
业界资深处理器架构师——Google母公司Alphabet主席John Hennessy说:“有许多旁路通道是不可能关闭的......这是一连串需要改变的事情,它将需要花费很长的时间。"因此,Hennessy在发表专题演说时呼吁业界展开全新的安全时代。cJcesmc
在Red Hat负责监督安全工作的Jon Masters说,Red Hat为支援15个Linux版本的8种芯片架构开发了一组初版Spectre/Meltdown增补程式,总共花费了10,000个小时的工程人力。而在上周发现的新变种”更花费超过10,000个工桯小时",部份原因在于其涉及核心和虚拟机管理程式。cJcesmc
美国威斯康辛大学麦迪逊分校(University of Wisconsin at Madison;UW-Madison)电脑科学教授Mark Hill在专题讨论中说:“我们需要电脑架构2. 0(computer architecture 2.0),用于定义不至于出现漏洞的运算——但问题是我们并不知道该怎么做。”cJcesmc
Hill列出了一长串用于保护处理器的技术清单,例如隔离分支预测器、分区快取以及减少混叠。"各种可能性都有,但对我来说没有一种感觉良好。"他并指出,安全问题能否完全修复或只是部份解决,目前还不清楚。cJcesmc
与会的普林斯顿大学(Princeton University)资深安全研究员Ruby Lee说:"很开心听到像John Hennessy这样的专家呼吁安全时代——迟到总比没来好。"cJcesmc
她接着说:"好处不只是著眼于一次修复一个问题——尽管这就是安全产业比较想做的事...... [安全架构的第一原则应该是]未经授权就无法存取。 "cJcesmc
还有几位发言人呼吁在开放来源软体和硬体方面展开更多工作。Masters说:我们已经看到许多攻击都针对机器中封闭的微程式码、未经认证的行为——只要是看不到的东西都令人难以相信。"cJcesmc
Google的目标是在明年发布一项计划,推动其Titan安全模组的开放来源版本——它可能采用32位元RISC-V核心(来源:Google)cJcesmc
Google、微软并驾齐驱cJcesmc
微软在今年的活动中描述用于其Azure IoT服务的Pluton安全模组,Google则在另一场详细介绍其Titan——用于在其资料中心标记并保护系统的类似模组。尽管两家公司的目标不同,但这两种途径都采用了非常相似的原理和功能,让现场的一位Google工程师建议两家公司有朝一日可融合成为一项标准。cJcesmc
Pluton和Titan都强制使用加密认证进行安全系统启动和装置辨识。两款芯片都包含随机数字产生器和产生密钥(软体无法存取)所需的所有硬体模组。此外,两款芯片也都使用电子熔丝(e-fuse)设置来控制模组状态,以防止在制造和生命周期间被篡改。cJcesmc
这两种方法的最大区别之一在于未来将如何进入市场。微软将与联发科技(Mediatek)合作,在Wi-Fi路由器芯片中首度建置Pluton。该公司的目标在于与其他更多的MCU和SoC供应商合作。cJcesmc
到目前为止,Google已经开发了两款Titan方案。其中之一是去年宣布用于保护其资料中心的方案。另一款较不知名的版本目前已被Google员工用于USB dongle中作为第二因素身份认证。cJcesmc
Google目前正为此建立一个产业组织,预计在明年推出Titan的开放来源方案,而且可能采用32位元RISC-V核心。该开放源码变化版本将适用于任何嵌入式或消费类产品。cJcesmc
Google的工程师希望所谓的Open Titan计划能够吸引像微软等其他业者。透过业界伙伴的共同努力将有助于逐渐形成既定的标准,从而打造出类似Hill和其他人描述的安全架构。然而,这个概念目前在一些Google工程师的眼里看来仍微不足道。cJcesmc
在短期内,微软希望Pluton成为其Azure IoT云端服务的卖点。预计包括其他云端服务和MCU供应商等各种公司都将推出自己的安全架构和方案。cJcesmc
好消息是在Spectre/Meltdown之后,工程师们将积极建构更安全的产品。而坏消息是,他们担心在客户愿意支付费用之前就可能遭受其他更严重的骇客攻击。cJcesmc
微软的Pluton大致上支援与Google Titan类似的功能和模组,但Pluton至今仍是微软物联网秘密武器的一部份(来源:微软)cJcesmc
编译:Susan HongcJcesmc
(参考原文:Security Era Sprouts in Silicon,by Rick Merritt)cJcesmc
扫码分享到好友
