英特尔承诺将在其处理器中采用全内存加密,这是本周在公司安全日活动上的一次启示。该功能类似于AMD已经在其CPU上提供的功能,尽管它不一定使Intel的芯片不像Spectre和Meltdown那样容易受到旁道攻击。
这些类型的利用利用了处理器采用的各种技术中的漏洞,包括乱序执行(OOOE),分支预测和推测性执行,所有这些设计都旨在提高性能。我们发布了一份详尽的指南,介绍了有关Meltdown和Spectre CPU漏洞的了解,如果尚未了解,则应进行检查。
内存加密可以帮助解决这类攻击,但是正如我们在Tom's Hardware的朋友所指出的那样,研究人员警告(PDF),这不足以完全阻止旁道攻击。但是,它并非没有好处。英特尔保护其芯片免受攻击的一种方法是通过一项名为Software Guard eXtensions(SGX)的功能。SGX在企业和消费者处理器中均可用,是一种硬件加密技术,可充当内存部分中的“安全区域”,但仅用于少量数据。
Arstechnica提供了详尽的技术细节,但是总而言之,SGX有一些限制-它只能在Intel处理器上运行,开发人员必须设计其应用程序以专门利用SGX,并且开发人员还必须选择标记了“机密”,因为它们只能使用128MB的内存限制。
相反,AMD的安全内存加密(SME)和安全加密虚拟化(SEV)功能更加灵活。可以使用SME加密所有系统RAM,而无需对应用程序开发人员施加任何特殊考虑。AMD的实施不仅比SGX更灵活,而且对性能的影响也较小。
英特尔正在寻求通过称为总内存加密(TME)和多键总内存加密(MKTME)的一对功能来纠正这一问题。据英特尔称,TME和MKTME尚不存在于实际的CPU硬件中,但在某些时候会存在。
尽管在安全日活动中没有特别提及,但这是要为AMD的处理器带来平价,甚至可能超越AMD的保护内存的方法。当它们到达时,它们将支持对常规内存,易失性DRAM和永久性/非易失性内存(例如3D Xpoint)进行加密。
现在说这对消费者意味着什么还为时过早,而且听起来不像即将推出的CPU(例如Comet Lake)将可使用它。不过,这绝对是我们会一直关注的事情。