应对侧信道分析的最新研究

关于变体 4 的相关细节和防御信息

 

作者:Leslie Culbertson 是英特尔公司执行副总裁兼产品保障与安全部门总经理。

 

在今年 1 月,谷歌 Project Zero 团队(GPZ)*披露了基于预测执行的侧信道分析方法之后,英特尔一直持续与业界研究人员合作,以了解类似的方法是否会被用于其他领域。我们知道,在一个可预测的周期内通常会出现新型的安全漏洞,包括原始安全漏洞的新变体。

 

具体到侧信道攻击的漏洞也不例外,我们今年初采取的其中一个措施是加大漏洞报告赏金计划,支持并加速发现新的方法来识别漏洞。这项计划获得的反响令人鼓舞,我们感谢一直以来安全研究社区与我们的紧密合作。

 

更多信息请参阅:安全隐患与英特尔产品(新闻资料)及最新安全研究结果及英特尔产品说明(Intel.cn)

 

作为这项持续工作的一部分,针对影响我们和其他芯片制造商的原始漏洞新变体,今天英特尔和行业合作伙伴公布了相关细节和防御信息。新的变体被称为变体 4,由 GPZ 和微软安全响应中心(MSRC)联合公布*。

 

秉承英特尔誓保安全第一的精神,我希望解释一下这个新变体是什么,以及用户如何保护自己。首先,我想说的是,我们还没有看到任何有关于这种方法被利用的报告。而且,针对潜在漏洞,用户和 IT 专业人士有多种方法可保护自己的系统,包括目前已经部署并可用的基于浏览器的防御措施。

 

关于变体 4

就像其他 GPZ 变体,变体 4 使用了预测执行(大多数现代处理器架构所普遍采用的功能),可能通过侧信道而暴露特定类型的数据。在这种情况下,研究人员在基于语言的运行时环境中演示了变体 4。虽然我们没有看到利用浏览器成功攻击的漏洞例子,但运行时最常见方式是使用网页浏览器,如 JavaScript。

 

从 1 月份开始,大多数主要浏览器厂商在其管理的运行时中,部署了变体 1 的防御措施,大大增加了在网络浏览器中利用侧信道的难度。这些防御措施也适用于变体 4,目前已经可供用户使用。然而,为了确保我们提供全面防御措施并防止这种方法用在其他方面,我们和行业合作伙伴正在为变体 4 提供额外的防御,其中结合了微代码和软件更新。

 

我们已经向 OEM 系统制造商和系统软件提供商提供了针对变体 4 的测试版微代码更新,预计未来几周将用于生产 BIOS 和软件更新。这个防御措施会被设置为默认关闭,让用户选择是否启用。我们预计大多数行业软件合作伙伴会采用默认关闭选项。在默认关闭配置下,我们没有观测到对性能有任何影响。如果启用,根据客户端 1和服务器 2测试系统上的 SYSmark® 2014 SE 和 SPEC 整数率等基准测试整体得分,我们观察到有大约 2-8% 的性能影响。

 

该更新还包括针对 Arm* 在 1 月公开记录的变体 3a(恶意系统注册器读取)的微代码。对于变体 3a 的防御措施,我们在客户端或服务器基准测试中尚未观察到任何有意义的性能影响 3。我们已经把这两个微代码更新捆绑到一起,以便为行业合作伙伴和客户简化流程。我们意识到更加可预测且整合的更新流程将对整个生态系统有所帮助,因而我们会继续这种做法。

 

在我们的产品安全中心页面,我们提供了有关受影响的英特尔产品的更多信息,以及白皮书和其他资源,帮助 IT 专业人士评估其环境的风险级别。此外,我们更新了安全第一网站,列出了最新的常见问题,以帮助任何需要更多信息的人。与以往一样,我继续鼓励大家保持系统更新到最新状态,因为这是确保您始终拥有最新防护措施的最简单的方法之一。

 

我和英特尔每个人工作的重中之重,依然是保护我们用户的数据并确保产品的安全性。对侧信道安全方法的研究将会继续,同样,我们将会继续与行业合作伙伴合作,为客户提供所需的保护。事实上,我们相信,我们将能够针对任何未来侧信道问题为英特尔产品开发防御方法。

 

我谨代表整个英特尔团队,感谢行业合作伙伴和客户的持续支持。

 

 

1 客户端测量是基于英特尔内部参考平台和一个第八代智能英特尔® 酷睿™ 台式机处理器。具体而言,观察到的性能影响根据 SYSmark 2014 SE 整体得分是 4%,根据 SPECint_rate_base2006(n copy)整体得分是 2%,根据 SPECint_rate_base2006(1 copy)整体得分是 8%。

2 服务器测量是基于英特尔内部参考平台和一个英特尔® 至强® 处理器可扩展系列(之前的 Skylake)处理器。具体而言,观察到的性能影响根据 SPECint_rate_base2006(n copy)整体得分是 3%,根据 SPECint_rate_base2006(1 copy)整体得分是 8%。

3 0-1% 的性能影响

 

在进行额外测试后,上述英特尔报告的基准测试结果可能需要修订。该结果取决于测试中使用的具体平台配置和工作负载,可能不适用于任何具体用户的组件、计算机系统或工作负载。这些结果不一定代表其他基准测试,并且其他基准测试的结果可能显示防御措施的更大或更小的影响。

 

性能测试中使用的软件和工作负载可能仅针对英特尔微处理器性能进行了优化。

诸如 SYSmark 和 MobileMark 等性能测试使用具体的计算机系统、组件、软件、操作和功能进行测量。这些因素的任何变化都可能造成结果不同。您应参考其他信息和性能测试,以帮助您全面评估您的预期采购情况,包括与其他产品结合使用时该产品的性能。 有关性能和基准测试结果的更多信息,请访问 http://www.intel.com/performance

 

英特尔和英特尔标识是英特尔公司在美国和/或其他国家的商标。

*其他的名称和品牌可能是其他所有者的资产。

关于英特尔

英特尔 (NASDAQ: INTC) 致力于拓展科技疆界,让最佳精彩体验成为可能。

有关英特尔的信息,请访问 newsroom.intel.comwww.intel.cn

英特尔和英特尔徽标是英特尔公司在美国和其他国家(地区)的商标。
* 文中涉及的其它名称及商标属于各自所有者资产。