Názory k článku Chyba PortSmash umožňuje krást klíče přes Hyper-Threading

Do kopru to nejde, tam už to je. Teď se na to pouze přichází...

Uz nekdo z vas u vsech tehle "preslechovych" utoku videl praktickou ukazku jak nekdo nekomu neco realneho odposlech?

Nebo je to zatim "za presne teploty v laborce, kdyz presne posleme do jednoho tasku tyhle instrukce a kdyz se korelace na 50. pokus zdari aspon na 0.3 a kdyz nikdo nekejchne, tak prohlasime, ze se takhke da odposlouchavat...

Kdo z vas to skutecne videl, treba na nejakem seminari, nebo to sam zkusil

Ne kdo o tom cetl

To nie je o CPU, to je o ich architekture. A ta ma nejake vlastnosti.
Treba si uvedomit, ze procesor je len tupa krabicka, ktora doradu vykonava instrukcie od OS.
A prave Operacny system by malo byt co tymto utokom ma predchazdat.

Mějme šatnu, kde se odděleně v kabinkách převlíkají muž i a ženy. Pokud není zástěna pevná od podlahy ke stropu, jak zabráníš chlapovi, aby načuhoval vedle, když klíčky od kabinek přiděluje automat, který neví, kdo je šmírák?

Procesor v tomto případě není jenom tupá krabička, ale má vlastní "inteligenci" - rozhodování, co natáhnout do CACHE. Prediktor skoků. Mikrokód. A další blbiny kolem. U x86 se CISC instrukce emulují na RISC jádře a instrukce x86 je program pro interní procesor. Někdy trvá pět instrukcí, jindy třeba osm. Prostě vidíš, co se tam děje, když sdílíš železo. Někdo ignoruje, co se za přepážkou děje, ale obecně se tím nemusí řídit všichni.

Btw, CISC instrukce obecně trvají různě dlouho, vem si jenom načtení opkódu u hloupé Z80 - použij index registr a místo 8b má instrukce 16b. Instrukce s prefixem to samý. V základní sadě RET načítá 1B, CALL 3B, ADD 1 nebo 2B podle toho, jestli přičítáš registr nebo konstantu. Jedna instrukce 4 takty, jiná 7 taktů. Tam to ale moc nevadilo, tam neběželo další vlákno s monitoringem. Ale když stejný jádro dělá dvě různý věci, tak se prostě vzájemně vidí a když e jedna z těchvěcí rozhodne šmírovat, operační systém (automat vydávající klíče před vchodem) to neovlivní.

Palec na horu, dobře vysvětleno....
Asi by se měl stále vyučovat assembler jako povinný předmět.

Raději čeština, přednášená třeba "na hoře" :-D pane Assemblere :-D

Je mnoho lidí co mají vysokou odbornost, ale třeba moc krasopisně/správně psát neumí (ovšem třeba v IT umí věci/zná věci, které by nenapadli ti co psát úžasně umí). Takže ten kdo moc neumí jazyk tak by jsme ho měli ignorovat?

Je to zhovadilost, již v minulosti bylo mnoho osobností, kteří neuměli skoro mluvit či vykoktat ze sebe nějakou větu, ovšem vytvořili/vymysleli tolik unikátních věcí.

Nechapem, preco na odborny web ako je root.cz- chodia primitivi typu Ucitela

Az na to, ze ten klicnik u dveri vydava klice k jedny kabince, a nekomu vadit nemusi, ze tem budou zensky i muzsky pokupe, kdyz mu to ale vadit bude, tak ten klicnik naprosto vpohode muze nejdriv dovnitr pustit 10 zenskych a az je vsechny vykopne ven, tak teprve pak tam pusti ty muzsky.

Podotykam, ze spolecny satny jsou naprosto bezna vec na spouste mistech. Kupodivu z naprosto stejnyho duvodu proc se pouziva spolecnej CPU - lepsi vyuziti zdroju (skrinek).

Tahle "chyba" mi prijde asi tak stejne objevna jako ze kdyz vylezes v desti pred barak, tak ze zmoknes.

OS tomuhle nema vubec zadnou sanci predejit.

Jak by sis to presne predstavoval?

(tedy krome vypnuti HT, ale pak prijdes o polovinu logickych jader)

Budu hádat. Software bude mít Attacker flag, nastavovaný autorem software *). Pokud bude nastavený, systém nepřidělí žádný procesorový čas pro žádný vlákno procesu patřící.

*) A pokud oss vymyslí, jak to udělat automaticky, stane se jedním z nejbohatších lidí planety

Tohle ale neni uplne spatne reseni - programy, ktere budou napr. podepsany vydavatelem OS nebo jednoduse ty, kterym veris a ktere povolis budou mit moznost stilet jadro, ostatni jenom s vlakem stejneho procesu.

Podepsané být nemusejí, to stačí zařídit jako informaci z repozitářů, které podepsané jsou. Jinak řečeno by mělo stačit mít možnost označit procesy jako citlivé, kterým by pak i za cenu zpomalení nebylo umožněno využívat některé prostředky procesoru jako např. onen hyperthreading.

To spíš obráceně, "no share flag" u aplikace, která si chce chránit soukromí. Třeba TSL apod. S tím, že se flag nastaví i pokud aplikace bude využívat knihovnu s tímhle flagem a stejný flag se může použít i pro další zabezpečení.

Tupá krabička? Nemyslím si že to CPU je na tom horšie než ty...

x86 je prostě děravý šrot. Ono to ani, vzhledem k jeho vývoji, jinak být nemůže.

To se takhle vezme CISC s různě dlouhýma a pomalýma instrukcema, a začne se zrychlovat. Až se narazí na nějaký limit a dál to nejde. No a co uděláme? Rychlý RISC a instrukce je vlastně různě dlouhý podprogram.

Jenomže ono to nejde jako u klasickýho RISCu udělat tak, že stejná ALU mimo svou práci inkrementuje PC a připočítává offsety. Nene. My tady máme oddělený program counter od registrů (ze základní architektury) a chceme zrychlit, tak mu dáme vlastní ALU. A takhle to nasekáme, aby se to nehádalo. A pak najednou zjistíme, že se hlavní ALU 2/3 času fláká. No a co s tím? Sdílet ji budeme, ušetří to plochu čipu a dovolí vyšší rychlost.

No a že se tam na fyzické úrovni míchají data, který se nemají potkat, že se sdílí i překlad adres, prediktor skoků a další věci okolo? Že se potkává cache? Že je vidět, kolik která instrukce vykoná instrukcí v mikrokódu? Že někde zůstane nějaký flag nebo mezivýsledek mikrokódu ve skrytým registru? Že je tam plno dalších podobných průšvihů? Who cares?

Spíš než do HT měli jít do vyhození prediktoru skoků a ten výkon použít na to, že se vykonávají spekulativně instrukce z obou větví jednoho vlákna a po podmíněným skoku se polovina práce, vykonaná od načtení instrukce, zahodí. Sice to nezvýší výkon tak razantně, ale bezpečnost to zvýší drasticky.

Anebo hodit bobek na x86, ušetřit si paměti mikrokódu a infrastrukturu kolem, místo toho tam nasekat víc čistě RISCových jader s vyšším výkonem a hotovo. Každej svou L1 cache, aby nebylo podle přístupu ke sběrnicím vidět, čím se aktuálně zabývá a je to vyřešeno.

1. To vůbec není CISC vs RISC problém.
2. I v RISC architektuře můžou mít instrukce různou délku a časování (např. Thumb, RISC-V).
3. Oddělěný PC (program counter) je výhoda a např. ARM64 i RISC-V to má taky tak. U ARM32 je dnes vidět, že považovat PC za obyčejný registr byla chyba v návrhu.
4. Jednotku pro počítání adres (AGU) mají snad všechny procesory a není to problém.

Zbytek nestojí za komentář. Takže pár mýtů jsem dnes vyvrátil a můžu jít pracovat :)

Celkem souhlas až na tu izolaci. Praxe nám ukazuje, že jediná izolace bude vypnout HT úplně, protože když to neuděláme, tak si útočník tu cestu vždycky najde a objeví nové chyby. To co se teď děje bude mít vliv na budoucí generace CPU a řekl bych, že HT půjde do důchodu. Možná se dočkáma na X86 něčeho typu Big-Little kdy bude procesor kombinace různých jader a při powersave bude využívat ty slabší. Otázka ale je, jestli by to vůbec mělo smysl.

Vypnout HT ti vubec nepomuze, protoze jednotlivy CPU toho sdilej daleko vic. Jediny reseni by bylo abys nejak (nejlip na urovni HW) zaridil, ze nikdy nepovezi vic nez jedina uloha ... jo aha, to je presne ten duvod, proc se delaj viceprocesorovy stroje. A dokonce bys ani nemel dovolit beh vice threadu jedne ulohy, protoze ani ty by nemely mit moznost ziskat data o jinym threadu.

"Např. volání jádra nejsou sama vůči sobě považována za nebezpečná."

Toto bylo právě vyvrácené přímo lidma z OpenBSD ještě v době kdy se jednalo o tu předchozí chybu. Syscall je v tomto kontextu problém, a vypadá to, že neřešitelný.

Když se po desíti letech vypustí mezi běžnou IT veřejnost záludnosti návrhu x86 architektůry tak jsou všichni moudří jak je všechno špatně. Při návrhu jde pokaždé o kompromisy a neočekávalo se že se najdou skupiny které budou takt po taktu celý návrh podrobovat zkoumání. Navíc řádově za tu dobu narostlý možnosti si nějaké polovodičové struktury emulovat.

Ono je to důsledkem jednoho zlomu v uvažování. O těhle vlastnostech se prostě roky ví. Spekulativní vykonávání instrukcí, HT apod. se vše používalo s tím, že tam jsou jistá rizika. Ta se ovšem naprosto bezchybně technicky vyřešila a vše mělo být bezpečné. V duchu "nevadí, že spekulativně čteme z paměti, kam nesmíme mít přístup, protože se to pak stejně zahodí a proces ta data nikdy nedostane".

Ta změna v uvažování by se dala nazvat souhrnným názvem "postranní kanál". To je něco, o čem jsme prostě neuvažovali. Drtivá většina lidí žila v domění, že když ta data nedostanu do svého registru nebo do své přístupné paměti, tak se k nim prostě nedostanu. Ale najednou nám někdo ukázal, že i když se k těm datům nedostanu, tak je vlastně dokážu uhodnout pomocí naprosto nesouvisející technologie jako je například cache a měření rychlosti přístupu do RAM.

Teď, když víme, že postranní kanály existují a jdou využít, tak najednou vidíme i ty mraky pastí, co jsme do procesorů za ty roky nasekali. Proto je najednou tolik moudrých, kteří vidí, jak je všechno špatně. Prostě jsme si mysleli, že když jsou mezi dvěma procesy mříže, tak nic neprojde. Letos už ale víme, že se řada věcí dá dostat i skrz tu mříž. A najednou se děsíme, kde všude jsme ty mříže postavili a spoléhali se na ně. Proto nemine měsíc, aby někdo nepřišel se zprávou typu "já se byl podívat v kuchyni ve druhém patře a představte si, že mezi prostorem kuchyně a jídelnou pro veřejnost jsme také dali jen mříž!"

tahle záplava zranitelností CPU v posledních měsících je opravdu v důsledku toho, že jsme doteď opojíjely postranní kanály a schopnosti statistiky. Zranitelnosti se netýkají pouze Intelu, má obrovské zastoupení a poměrně dost mikrotoptimalizaci, takže je nejvíce na ráně, problém má celé odvětví CPU.

Tohle se nedá záplatovat, musí vzniknout výrazně upravená architektura procesorů (ne nikoliv instrukční sady).

tak se asi oddeli ruzne architektury pro ruzne pouziti.
doma ti to zas tak nevadi, takze si nechas procesor s HT i dalsimi problematickymi ficurami.
pro datova centra s virtualy se budou muset pouzivat jine procesory, co tyhle problemy nemaji.

Asi jak kde a nejsou všechny " domácí stanice" jen nejaká Učková I3 k prolézání webu.

Ta architektura x86 je jeden velky prusvih :-).

Nebylo by vhodné začít znovu a lépe se zcela novým procesorem? Pro začátek by ani nemusel být extra rychlý.

Bylo.

x86/64 jádro je komplikovaný, velký a rozežraný. Fyzicky se na jeho místo dá narvat několik menších jader jiné architektury (protože odpadne řada věcí - paměť mikrokódu, nějaký stavový automaty pro vykonávání instrukcí,...) .

Jestli pro čtyři virtuály máš jedno jádro, nebo pro každý z nich extra jádro s 1/4 výkonu je z pohledu plochy čipu, spotřeby a výpočetního výkonu celkem jedno. Co není jedno je, že oddělený jádra můžou mít dedikovaný FSB a řadiče pamětí, takže se zvýší propustnost pamětí. A že si virtuály nevidí pod pracky.

A hodně blbý na architektuře x86 je, čím si prošla a s čím vším drží (částečnou) kompatibilitu.
- Od osmibitu (8088)
- Na 16b s obskurním segmentovým 20b adresováním,
- Pak na 32b s 16b sběrnicí,
- Následovaný 32b s memory managementem,
- s vestavěním FPU (původně extra brouk x87)
- Překlopený interně na RISC, doplněný o hafo řezů a opičáren jako branch prediktory.
- Překopaný z von Neumanna (sdílení paměti programu a dat) na maketu von Neumanna z harvardem uvnitř a přilepením I cache a D cache
- Následně přebouchaný na 64b AMD64
- a to celý okořeněním sdílením jednoho jádra mezi dva procesy
- a s několikrát překopanou a rozšířenou instrukční sadou (MMX, SSE, SSE2, ...)
- rozšířený na mutiprocesorový monstra
- navíc s několika úrovněma CACHE, všelijak pochybně sdílenýma
V tom už se ani jeho výrobce nevyzná.

* miliardy USD na vývoj CPU s jinou architekturou výkonnostně porovnatelných se současnou x86
* biliony USD na portování stávajících aplikací na novou architekturu, včetně řešení chyb, které vzniknou takovou portací.

Výsledek? Možná to bude bezpečnější a jednodušší. Teda pokud nová architektura nebude ve výsledku stejně zabugovaná jako x86.

Současné CPU rozpůlit, půlku nechat v současném stavu kvůli kompatibilitě 16 a 32 bitových aplikací (s vypnutými nebezpečnými features) a drůhou půlku navrhnout moderně bez zpětné kompatibility pro nevé aplikace. A vzajemnou velikost těch "půlek" postupně s dalšími modely měnit.
Nebo dvě patice na CPU vedle sebe (klidně pod jedním chladičem) a uživatel si rozhodne co a s jakým výkonem potřebuje.

Prdlajs.

1) Nepotřebuješ miliardy na jinou architekturu. Ty miliardy šly do litografie, ne do zapojení čipu. Je úplně jedno, jestli do 10nm technologie hodíš x86, nebo něco jinýho.
2) Frekvenci jádra budeš mít pro stejnou technologii stejnou. Pokud v dané technologii x86 dá 3GHz, hádej, kolik dá jiný jádro? Rozdíl výkonu je v mikroarchitektuře.
3) Správně napsané aplikaci je na 99% jedno, pro jakou architekturu ji zbuilduješ, pokud se optimalizace kompilátoru chovají podobně. Nejede totiž na železe, ale nad OS, popřípadě nad VM který zůstanou stejný. Takže třeba Java, JavaScript, C# a další prostě pojedou, pokud bude stejný runtime a stejný API. Mega částky půjdou maximálně do aplikací, kde se obchází systém - a to je většinou kvůli neznalosti vývojářů. Takový soft je už teď zprasený a neudržovatelný a může se rozbít při jakékoliv aktualizaci. Měli jsme embedded SW, který běžel na ARM9EJ-S. Ty samý zdrojáky v C jsme buildovali i pro x86 pro ůčely dema a testování, jediný požadavek byl oddělení HAL.
4) K přepisu bude část ovladačů. Ony totiž periferky většinou jedou už nad nějakou abstrakcí (PCIe stack, USB stack0, platí to, co pro aplikace. Nezměníš-li interface, řádek se změní na jinou řadu jedniček a nul, ale dělá to samý.
5) Takže co se změní nejvíc, je HAL vrstva kernelu a ovladače věcí přímo v procesoru. A s vzdáleností od jádra úsilí na portaci exponenciálně klesá.

Krásná teorie, ovšem praxe říká něco jiného. Když je to tak jednoduché, proč tedy Microsoft pracně vyvíjel nové Windows na telefony a první Surface, když mohl prostě jenom portovat svoje x86 Windows prakticky s celým ekosystémem na Lumie a kompletně smazat všechny ostatní hráče na trhu s telefony? Vždyť přece stačilo jenom vybrat jinou cílovou platformu a zmáčknout F7.

technologie vyroby ovlivnuje maximalni moznou frekvenci ale rozhodne neplati, ze cokoliv si namaluju na te frekevnci pojede.

S exponencialne vrustajici se vzdalenosti od zidle a klavesnice se exponencialne zmensuje moznost vlozeni chyby do pocitace.

Jasne ... ukaz mi jinou architekturu, ktera per jadro podava vykon aspon srovnatelnej s x86.

A pak mi ukaz CPU, na kterym bezej aplikace stary 40 let.

IBM Power9 ?

Přesně tohle jsem měl na mysli. Když už pominu, že něco takového nemůže být optimalizováno, jak je možno takový systém udržet bezpečný? Zní to jako úplný protipól pravidla KISS. Nechtěl bych se jako designér procesoru v takových hovnech přehrabovat.

Nikdo to nezaplatí. Peníze, které by to stálo, resp. ktré by stály nové čipy oproti stávajícím, a to ještě s tím, že nebude zpětná kompatibilita a pravděpodobně by byl min. za začátku i výrazně nižší výkon (viz. ARM stahy v HPC).
Prostě se to bude lepit dále. ADost možná další desítky let, protože ta investice je nenávratná. Kde o to opravdy jde, jsou už dávno zavedená opatření - systémy jsou např. fyzicky izolované od internetu....

HT lze vypnout linuxu bez problémů, ovšem pro windows to není tak jednoduché. Pokud změníte některá nastavení, mezi která patří třeba i použití nebo nepoužití HT, systému windows, tak vám oznámí, že jste ho ukradli (respektive nic neoznámí, bude furt dokola restartovat), protože pro něj to je rázem jiný počítač, než na který byl aktivován.

U recentních verzí windows (i OEM) mám ověřeno, že tomu tak není. Podstatný je MB. Problém by snad mohl být u windows server v některých verzích, ale i tam počet jader pouze klesne, takže by to mohlo klapnout. Každopádně bych řekl, že i tak bude ruční reaktivace možná.

Mám zkušenosti, že je možné vyměnit celý počítač (přehodit disk jinám) a reaktivace je možná (vyzkoušeno na Win XP a Win 7). Jenomže jiné Win 7 (OEM - klíč získám stejně jako u předchozích) po přehození disku odmítají naběhnout. Pořád se objevuje tabulka, že změny se projeví až po restartu...

Jinak když jsem vypnul HT, tak Windows si toho ani nevšiml.

Je smutné, že se 13 let od prvního útoku na hyperthreading stále nacházejí nové časové postranní kanály.
CVE-2005-0109
http://www.daemonology.net/hyperthreading-considered-harmful/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0109

(jestli máte někdo odkaz na starší, tak ho sem prosím vložte)

To, že ty postranní kanály tam jsou a budou, je jasné z principu sdílení. Smutné je, že se tomu po 13 letech divíme.
Možná, pokud bychom si někde přečetly první dokumentaci k HT od Intelu, tak by jsme se dozvěděli pro co je to vhodné atp. (Tím netvrdím, že intel něco takového zveřejnil, ale je to dost možné).

Za další každý CPU obsahuje tzv. nedokumentované instrukce, ty vznikají náhodně resp. jejich vytvoření nebylo v návrhu a zjistili se třeba až testováním čipu. Při změně technologie či uvedením nového čipu mohly vymizet nebo se chovat jinak.

Tedy principiálně vždy existuje možnost, že existuje cesta, která dokáže prolomit či zhroutit žádanou fci CPU.

Složitost CPU je již tak vysoká, že ani není možné reálně otestovat všechny možné stavy. Opravy nefunkčních částí se řeší např. nahráním mikrokódu do CPU. Viz https://downloadcenter.intel.com/download/28087/Linux-Processor-Microcode-Data-File
Četnost nových mikrokódů není nízká....
Pokud chcete vysokou bezpečnost, je potřeba návrh systému včetně všech HW a SW komponent takto designovat.

HT mě přijde jako zbytečnost pro notebookové procesory. S prvními generacemi core mě nepřišlo, že by HT nějak výrazně pomohlo. Když jsem HT vypnul, tak notebook byl podobně rychlý a o větráčcích jsem pomalu nevěděl. Jasně v obchodě zní lépe čtyř jádro než dvou jádro. U stolního, kde je lepší chlazení, tam to smysl může mít. Případně ještě některé hry mají omezení na minimální počet jader, takže tam se ten HT taky hodí, když chce člověk ušetřit (i když myslím, že dříve byl HT v dražších CPU)

Jinak ti kteří si stěžují na architekturu x86, tak teď se již používá AMD64. Ale změnou architektury se nic nezmění. Pokud se najde vhodná bezpečná architektura, tak za pár let se tam stejně nějaký bug. Nepomůže ani RISC-V. V software jsou také bugy, které tam jsou desítky let, viz https://www.root.cz/clanky/dira-v-bashi-ktere-si-20-let-nikdo-nevsiml/ a to se bugy v hardware hledají hůř.

Znamená to, že když ve virtuální mašině natvrdo nastavím jádra 1,3,5 a ve druhé 2,4,6 tak i se zapnutým HT jsem v klidu?

Ano, ale za předpokladu, že jsou to fyzický jádra (virtuální mají čísla 7-12) a neběží tam nic jinýho.

Pokud je to osmijádro a [n, n+1] jsou na stejným fyzickým jádře, je to ta nejhorší kombinace. Lepší by bylo 1,2,3 a 5,6,7.

Jak v klidu? Naopak jedna VM bude odposlouchávat druhou ne?

Ještě že můj procesor nemá HyperThreading...

Nie som architekt CPU ale mam taky pocit, ze HT len tak nezmizne. Este sa moze stat, ze namiesto HT (kde sa dve "jadra" delia o zdroje) vzniknu pooly jednotiek, ktore si budu viacere jadra zdielat. Mohli by byt napr. 1 az 3 zdielane ALU pre 2 jadra. Alebo 6 ALU pre 4 jadra.

Tohle uz AMD zkoušelo v Buldozeru s FPU a byl to docela průšvih.

HT mám vypnutý už z jiných důvodů a tohle jen potvrzuje, že dobře dělám.

Jake su jine duvody?