新芯片架構開(kāi)啟安全運算時(shí)代

 在今年的Hot Chips 2018大會(huì )上，業(yè)界專(zhuān)家們呼吁打造新一代安全設計的電腦。包括微軟(Microsoft)和Google分別描述彼此不同但結構類(lèi)似的硬體安全架構，朝此方向邁出了重要的一步。

在今年初揭露Spectre/Meltdown安全漏洞后，喚醒工程師開(kāi)始意識到諸如推測執行(speculative execution)等數十年來(lái)的老技術(shù)也可能為旁道攻擊敞開(kāi)大門(mén)。光是一家紅帽(Red Hat)公司就得花費數萬(wàn)個(gè)工程小時(shí)來(lái)修補Linux中的缺陷。此外，像AMD、ARM、IBM和英特爾(Intel)等芯片制造商還必須進(jìn)行一小部份的工作，估計業(yè)界將因此損失數百萬(wàn)美元。

專(zhuān)家表示，當今的增補程式雖然解決了問(wèn)題，但無(wú)法修復潛在的漏洞，導致其中一些可能會(huì )持續存在多年。在上周甚至出現了新的攻擊變種，預計在可預見(jiàn)的未來(lái)還將繼續出現。

專(zhuān)家呼吁新一代電腦架構

業(yè)界資深處理器架構師——Google母公司Alphabet主席John Hennessy說(shuō)：“有許多旁路通道是不可能關(guān)閉的......這是一連串需要改變的事情，它將需要花費很長(cháng)的時(shí)間。"因此，Hennessy在發(fā)表專(zhuān)題演說(shuō)時(shí)呼吁業(yè)界展開(kāi)全新的安全時(shí)代。

在Red Hat負責監督安全工作的Jon Masters說(shuō)，Red Hat為支援15個(gè)Linux版本的8種芯片架構開(kāi)發(fā)了一組初版Spectre/Meltdown增補程式，總共花費了10,000個(gè)小時(shí)的工程人力。而在上周發(fā)現的新變種”更花費超過(guò)10,000個(gè)工桯小時(shí)"，部份原因在于其涉及核心和虛擬機管理程式。

美國威斯康辛大學(xué)麥迪遜分校(University of Wisconsin at Madison；UW-Madison)電腦科學(xué)教授Mark Hill在專(zhuān)題討論中說(shuō)：“我們需要電腦架構2. 0(computer architecture 2.0)，用于定義不至于出現漏洞的運算——但問(wèn)題是我們并不知道該怎么做。”

Hill列出了一長(cháng)串用于保護處理器的技術(shù)清單，例如隔離分支預測器、分區快取以及減少混疊。"各種可能性都有，但對我來(lái)說(shuō)沒(méi)有一種感覺(jué)良好。"他并指出，安全問(wèn)題能否完全修復或只是部份解決，目前還不清楚。

與會(huì )的普林斯頓大學(xué)(Princeton University)資深安全研究員Ruby Lee說(shuō)："很開(kāi)心聽(tīng)到像John Hennessy這樣的專(zhuān)家呼吁安全時(shí)代——遲到總比沒(méi)來(lái)好。"

她接著(zhù)說(shuō)："好處不只是著(zhù)眼于一次修復一個(gè)問(wèn)題——盡管這就是安全產(chǎn)業(yè)比較想做的事...... [安全架構的第一原則應該是]未經(jīng)授權就無(wú)法存取。 "

還有幾位發(fā)言人呼吁在開(kāi)放來(lái)源軟體和硬體方面展開(kāi)更多工作。Masters說(shuō)：我們已經(jīng)看到許多攻擊都針對機器中封閉的微程式碼、未經(jīng)認證的行為——只要是看不到的東西都令人難以相信。"

Google的目標是在明年發(fā)布一項計劃，推動(dòng)其Titan安全模組的開(kāi)放來(lái)源版本——它可能采用32位元RISC-V核心（來(lái)源：Google）

Google、微軟并駕齊驅

微軟在今年的活動(dòng)中描述用于其Azure IoT服務(wù)的Pluton安全模組，Google則在另一場(chǎng)詳細介紹其Titan——用于在其資料中心標記并保護系統的類(lèi)似模組。盡管兩家公司的目標不同，但這兩種途徑都采用了非常相似的原理和功能，讓現場(chǎng)的一位Google工程師建議兩家公司有朝一日可融合成為一項標準。

Pluton和Titan都強制使用加密認證進(jìn)行安全系統啟動(dòng)和裝置辨識。兩款芯片都包含隨機數字產(chǎn)生器和產(chǎn)生密鑰(軟體無(wú)法存取)所需的所有硬體模組。此外，兩款芯片也都使用電子熔絲(e-fuse)設置來(lái)控制模組狀態(tài)，以防止在制造和生命周期間被篡改。

這兩種方法的最大區別之一在于未來(lái)將如何進(jìn)入市場(chǎng)。微軟將與聯(lián)發(fā)科技(Mediatek)合作，在Wi-Fi路由器芯片中首度建置Pluton。該公司的目標在于與其他更多的MCU和SoC供應商合作。

到目前為止，Google已經(jīng)開(kāi)發(fā)了兩款Titan方案。其中之一是去年宣布用于保護其資料中心的方案。另一款較不知名的版本目前已被Google員工用于USB dongle中作為第二因素身份認證。

Google目前正為此建立一個(gè)產(chǎn)業(yè)組織，預計在明年推出Titan的開(kāi)放來(lái)源方案，而且可能采用32位元RISC-V核心。該開(kāi)放源碼變化版本將適用于任何嵌入式或消費類(lèi)產(chǎn)品。

Google的工程師希望所謂的Open Titan計劃能夠吸引像微軟等其他業(yè)者。透過(guò)業(yè)界伙伴的共同努力將有助于逐漸形成既定的標準，從而打造出類(lèi)似Hill和其他人描述的安全架構。然而，這個(gè)概念目前在一些Google工程師的眼里看來(lái)仍微不足道。

在短期內，微軟希望Pluton成為其Azure IoT云端服務(wù)的賣(mài)點(diǎn)。預計包括其他云端服務(wù)和MCU供應商等各種公司都將推出自己的安全架構和方案。

好消息是在Spectre/Meltdown之后，工程師們將積極建構更安全的產(chǎn)品。而壞消息是，他們擔心在客戶(hù)愿意支付費用之前就可能遭受其他更嚴重的駭客攻擊。