OpenBSD dezactivează Intel-Hyper-Threading pentru a preveni atacurile din clasa Spectre
Sistemul de operare BSD orientat spre securitate OpenBSD a decis să dezactiveze suportul pentru caracteristica de creștere a performanței hiper-threading a celor de la Intel, invocând preocupările legate de securitate în privința atacurilor de tip Spectre.
Introdus în 2002, Hyper-threading este implementarea tehnologiei Intel Simultaneous Multi-Threading (SMT), care permite sistemului de operare să utilizeze un nucleu virtual pentru fiecare nucleu fizic prezent în procesoare pentru a îmbunătăți performanța.
Funcția Hyper-threading este activată pe computere în mod implicit pentru creșterea performanței, dar într-un articol detaliat publicat marți, managerul OpenBSD, Mark Kettenis, a declarat că astfel de implementări ale procesoarelor ar putea conduce la atacuri de tip Spectre.
„Implementările SMT (multithreading simultan) partajează TLB-uri și cache-uri L1 între nuclee”, a scris Kettenis. „Acest lucru poate face atacurile de sincronizare a cache-ului mult mai ușor de realizat și credem că acest lucru va face ca mai multe bug-uri din clasa Spectrelor să fie exploatate.”
În criptografie, atacul de sincronizare a canalului lateral permite atacatorilor să compromită un sistem prin analizarea timpului necesar pentru a executa algoritmi criptografici. Prin măsurarea timpului exact pentru fiecare operație, un atacator poate calcula invers valorile de intrare pentru a descoperi informații confidențiale.
Meltdown și vulnerabilitățile de clasă Spectre descoperite la începutul acestui an ar fi exemple excelente de atacuri sincronizate.
Prin urmare, pentru a proteja utilizatorii sistemului de operare OpenBSD de la astfel de atacuri descoperite anterior, precum și viitoare, proiectul OpenBSD a dezactivat caracteristica hiper-threading a procesoarelor Intel în mod implicit, ca parte a procesului de întărire a securității sistemului.
Ce înseamnă performanța sistemului?
S-ar putea să vă gândiți că, eliminarea acestei caracteristici de optimizare ar putea afecta negativ performanța sistemului dvs., dar OpenBSD nu crede acest lucru.
Kettenis consideră că oprirea SMT nu va avea niciun efect negativ asupra performanței sistemului, spunând că lăsarea activată ar putea încetini efectiv majoritatea încărcărilor de calcul pe CPU-uri cu mai mult de două nuclee fizice.
Kettenis a subliniat, de asemenea, că OpenBSD va dezactiva, de asemenea, implicit caracteristica SMT încorporată pentru CPU-uri de la alți furnizori, cum ar fi AMD, în viitor.
„Nu ar trebui să rulați diferite domenii de securitate pe diferite threaduri de procesoare de același nucleu”, a scris Kettenis.
OpenBSD a lansat o nouă setare prin intermediul „hw.smt sysctl” care, în mod implicit, dezactivează suportul SMT, iar cei care doresc să utilizeze funcția simultană de multithreading pot să o activeze manual.
Cu toate acestea, noua caracteristică de comutare este disponibilă doar pentru procesoare Intel care rulează OpenBSD / amd64 pentru moment, iar în curând va fi extinsă la alți furnizori și arhitecturi hardware.
Comentarii