财富中文网 >> 商业

痛定思痛,下一代英特尔芯片将从硬件层面堵死“幽灵”漏洞

分享: [双语阅读]

不久前,英特尔公司宣布,它的修正补丁已经覆盖了过去五年它所生产的所有芯片。

罗纳克·辛格尔是芯片制造商英特尔公司的一名高管,他在英特尔已经干了20多年。几周前,他和同事们相聚在以色列的海法,在地中海边他最喜欢的海伦娜餐厅定了位子,打算在这家高档餐厅里庆祝自己升职。但是还没开席,他就接到了公司的软件合伙人打来的电话,让他解释英特尔针对“幽灵”和“熔断”两大漏洞开发的补丁到底出了什么问题。

辛格尔负责英特尔所有处理器架构的研发工作。当天晚上的问题出在补丁上。全世界有数以亿计的电脑使用英特尔的CPU,但英特尔针对“幽灵”漏洞开发的一个补丁却导致了部分电脑出现死机和重启。虽然受影响的电脑只占市场的一小部分,但却足以引起PC生产商的恐慌,微软也只得紧急召回了这个补丁。(Linux的发明者林纳斯·托瓦兹基至称英特尔开发的这个补丁是“纯粹的垃圾”。)

辛格尔解释道,由于英特尔在该补丁中使用了一些以前从没用过的技术,因而“或许有补丁未按预期方式运行的情况”。他花了一个多小时才平息了这位合伙人的怒气,辛格尔的同事见他迟迟未到,只得先行开席。辛格尔回忆道:“他们还以为我迷路了,或者是被绑架了。”直到快散席,他才匆匆赶到,吃了一碟海伦娜餐厅最著名的炸鱿鱼。

这次补丁事件堪称计算机史上最严重的安全事故之一。几周后,英特尔发布了修正补丁,才算修复了这个问题。不久前,英特尔公司宣布,它的修正补丁已经覆盖了过去五年它所生产的所有芯片。

辛格尔表示,下一步,针对相关漏洞的修正程序将直接嵌入到芯片硬件中。今年下半年即将推出的第8代酷睿处理器以及即将于四季度推出的代号“Cascade Lake”的新一代至强服务器芯片都将采取这种全新设计。直接在硬件上写入保护程序,能有效避免软件补丁对性能的影响。

英特尔公司CEO布莱恩·科再奇对《财富》表示:“我们已经攻克了第一层的软件修正问题。我们已经把五年内生产的所有芯片的问题都解决了,现在我们正在部署硬件修正,它将直接嵌入在我们的芯片硬件上。”

“幽灵”和“熔断”漏洞的变体

过去几十年间,包括英特尔在内的几乎所有芯片生产商都存在这两个严重的安全漏洞,然而这个问题直到去年夏天才露出端倪。去年6月,谷歌的一支系统安全研究团队报称,英特尔芯片的一个关键部分在设计上存在重大安全隐患。

现在的芯片通常拥有相当程度的空闲处理能力,因此当系统监测到一个程序出现问题时,它可以根据当前掌握的信息预测某个条件判断的结果,然后选择对应的分支提前执行。这种执行方法又叫“预测执行”,是一种能够有效提升性能的策略。

然而谷歌的研究人员以及学术界的多支团队已经发现了几种利用预测执行机制,欺骗芯片使其暴露密码和加密密钥等重要信息的方法。研究人员将该漏洞的两种变体命名为“幽灵”(灵感来自与“007”作对的神秘组织“幽灵党”),将第三种变体命名为“熔断”,因为它能有效熔断安全屏障。该漏洞对于云服务器的威胁尤其严重,因为多个客户的程序往往会在同一块芯片上运行。其次是网页游览器,因为它可能会在不知情的情况下执行来自网站的代码。

到去年的7月初,英特尔等芯片制造商已经意识到这个问题的影响范畴之大,并组成了专门团队制定解决方案。辛格尔每天早上都会主持电话会议,有时会议一开就是两个小时,以协调俄勒冈、加州、德州和以色列等地的技术部门拿出方案。来自几个不同时区的员工同时扑在这个项目上,可以说他们是在24小时马不停蹄地解决问题。

最终,英特尔的方案是先采取软件修正,然后在以后的芯片设计中嵌入保护措施。软件补丁的代价是对CPU的性能有影响,影响的程度则有轻有重,具体要看使用的是哪个型号的芯片,以及芯片上运行的是什么程序。经过在一台搭载了Kaby Lake酪睿i7处理器的电脑上实测,大多数应用程序的减速在10%以内,在现实生活中的使用场景中几乎不会被察觉。不过微软公司也警告道,运行Windows 7、Windows 8系统或搭载五年前生产的英特尔Haswell第四代处理器的电脑可能受影响较大。

英特尔的最新安全举措

补丁风波告一段落后,英特尔CEIO科再奇成立了一个名叫英特尔产品保障与安全部(IPAS)的新部门。该部门不仅致力于修复“幽灵”和“熔断”漏洞,同时也致力于更有效地解决未来有可能出现的各种安全问题。IPAS的负责人是早在1979年便已加盟英特尔的老将莱斯利·卡伯特森。

“这是一个全新的研究领域,同时也是一个全新的安全知识领域,需要英特尔的长期投资。”卡伯特森表示,IPAS的重点是发现未来有可能出现的漏洞,同时也要考虑如何让芯片总体上更加安全。“我们将在这一领域持续进步——这就是这支团队将要思考的事情。”

辛格尔表示:“我们知道,故事到这里还没结束。对于我们中的很多人来说,这将是一场持久战。”

1月初关于“幽灵”和“熔断”漏洞的消息首次泄露时,由于投资者担心英特尔的芯片销量被拖缓,英特尔的股价因此遭到了不小的打击。不过最近有些分析师表示,随着英特尔的新一代芯片将采取嵌入式保护程序,一些希望升级到更安全的硬件的企业或将纷纷采购新一代英特尔芯片,从而刺激该公司的销量更快增长。年初至今,英特尔的股价已经上涨了12%,大幅超过了标普500指数3%的涨幅。

科再奇对各种积极和消极的推测都不太在意,他表示:“一开始我们就说过,我们认为它的影响是可以忽略的,哪怕是从积极的方面。分析师界应该意识到,我们其实一直在做安全性和性能方面的改进,并且不断添加新功能以促进更新周期。”(财富中文网)

(更新:本文3月15日有更新,澄清了英特尔的硬件修正对性能的影响是“重大”的。)

译者:朴成奎

阅读全文

相关阅读:

  1. 不再只做芯片!英特尔在年度开发者大会上展示五件酷产品
  2. 英特尔坚称摩尔定律并未失效
  3. 为何英特尔的股价能创18年新高?
返回顶部