Huis > Nieuws > Intel versus AMD, wiens processor is veiliger?

Intel versus AMD, wiens processor is veiliger?

Naarmate meer en meer gebruikers beginnen te twijfelen welke processor hun computers, gegevens en online activiteiten beter kan beschermen, is de decennialange strijd tussen Intel en AMD onlangs een nieuwe dimensie ingegaan.

Hoewel de meest voorkomende gebruikers en cybersecurity-onderzoekers zich zorgen maken over excessieve softwarekwetsbaarheden, lijken deze kwetsbaarheden nooit te verdwijnen. Vanaf januari 2018 realiseerden veel gebruikers en beveiligingsonderzoekers zich echter dat de hardware die onze apparaten voedt, niet zo veilig of zonder ernstige beveiligingsproblemen is als we dachten.

Dit liet ons een vraag: de processor van welk bedrijf is veiliger? Volgens de onderzoeksgegevens heeft Intel momenteel 242 openbaar gemaakte kwetsbaarheden, terwijl AMD er slechts 16 heeft en het lijkt erop dat de processors van AMD veel veiliger zijn, maar de twee bedrijven hebben ook een aantal inspanningen op het gebied van beveiliging gedaan.

In januari 2018 hebben Google's 'Zero'-projectbeveiligingsexperts en een aantal onafhankelijke beveiligingsonderzoekers de ontwerpfouten van de Meltdown en Spectre aan het licht gebracht. Het bestaan ​​van deze kwetsbaarheden is een ontwerpkeuze die door de meeste CPU-architectuurteams wordt gemaakt om hun chipprestaties te verbeteren. Meltdown heeft invloed op Intel-chips, waardoor hackers de hardwarebarrière tussen gebruikers en computergeheugen kunnen omzeilen, waardoor hackers het geheugen van de computer kunnen lezen en wachtwoorden kunnen stelen; Spectre heeft invloed op Intel-, AMD- en ARM-chips en laat hackers beschikken. Het is mogelijk om applicaties die niet foutief zijn, om te zetten in lekkende geheimen.

Spectre en Meltdown richten zich op de basisfuncties van de chip in plaats van softwarekwetsbaarheden, wat de ernstigste beveiligingscrisis in de afgelopen jaren is. Het is bijna onmogelijk om de CPU volledig immuun te houden voor Spectre en Meltdown en om de bedreiging te verminderen, hebt u een nieuw CPU-ontwerp nodig. Kortom, de Spectre- en Meltdown-aanvallen zijn gericht op de OoOE-technologie waar de CPU al jaren op vertrouwt. CPU-ontwikkelaars hebben geen andere methoden gebruikt om de prestaties te verbeteren, omdat ze niet zo effectief zijn als de oude methoden. En zelfs als er in de toekomst een betere CPU-architectuur is, kunnen er nieuwe beveiligingslekken zijn. Open source kan niet garanderen dat de CPU minder immuun is voor externe aanvallen omdat deze aanvallen nog niet bestaan. Intel leed een enorme publieke slag tegen blootstelling aan Meltdown en Spectre.

Speculatieve uitvoering heeft ten minste drie andere fouten gegenereerd, namelijk TLBleed, Forestadow en Zombieload, waardoor de Hyper-Threading-technologie van Intel feitelijk onzeker is. Oprichter van OpenBSD Theo de Raadt waarschuwde dat Hyper-Threading vanaf het begin op Ingo-computers moest worden ingeschakeld. Vervolgens sloten Google en zelfs OS-leveranciers zoals Apple zich aan bij het OpenBSD-oppositiekamp. Google heeft Hyper-Threading op alle Chromebooks uitgeschakeld en Apple heeft er alleen op gewezen dat om de kwetsbaarheden van Zombieload en andere micro-architectuur data sampling (MDS) volledig te verminderen, Hyper-Threading, dit de keuze van de gebruiker is.

Intel beveelt ook aan Hyper-Threading uit te schakelen, maar alleen voor bepaalde klanten die 'niet kunnen garanderen dat vertrouwde software op hun systemen wordt uitgevoerd'. Maar als iedereen de software van anderen op zijn pc of server gebruikt, kunnen ze u echt vertellen wat vertrouwd is en wat niet.

AMD CPU's worden ook beïnvloed door PortSmash, een kwetsbaarheid die de simultane multithreading-functionaliteit (SMT) beïnvloedt, vergelijkbaar met de hyperthreading van Intel. AMD-processors zijn ook kwetsbaar voor aanvallen door NetSpectre en SplitSpectre, omdat deze kwetsbaarheden de processor beïnvloeden, en deze processors zijn ook kwetsbaar voor Spectre v1-aanvallen, evenals Spectre-variant 2, die hiervoor een update heeft uitgebracht, maar het laat zien dat vergeleken met het ontwerp van Intel is de architectuur anders, "het gebruiksrisico is bijna nul."

AMD's chips zullen ook worden aangevallen door vijf van de zeven nieuwe Meltdown- en Spectre-aanvallen die door onderzoekers zijn ontdekt, en Intel's chips zijn kwetsbaar voor deze zeven kwetsbaarheden. CPU's van AMD (inclusief de nieuwste Ryzen- en Epyc-processors) worden niet beïnvloed door Meltdown (Spectre v3), Spectre v3a, LazyFPU, TLBleed, Spectre v1.2, L1TF / Foreshadow, SPOILER, SpectreRSB, MDS-aanvallen (ZombieLoad), Fallout, RIDL ), SWAPGS.

Het is niet moeilijk om te vinden dat de CPU van AMD meer flexibiliteit lijkt te hebben voor speculatieve uitvoeringsaanvallen dan Intel-processors. Echter, defecten vergelijkbaar met Spectre v1 lijken de processors van AMD te blijven beïnvloeden. Het goede nieuws is dat in de meeste gevallen de nieuwe Spectre v1-firmwarebeperking deze nieuwe kwetsbaarheden ook kan voorkomen.

Zowel Intel als AMD hebben firmware- en softwarepatches uitgebracht voor alle bovengenoemde tekortkomingen, maar als het updateproces afhankelijk is van de fabrikant van het moederbord of het apparaat en niet van de Intel / AMD- of OS-verkoper, zijn niet alle defecten bij de client aangekomen, zoals Microsoft. Apple, etc.

Voordat chipfabrikanten bekend werden bij het publiek, hadden ze ongeveer zes maanden de tijd om te waarschuwen voor de oorspronkelijke defecten van Spectre en Meltdown. Dit is controversieel omdat niet alle leveranciers van besturingssystemen er tegelijkertijd van op de hoogte zijn en sommige leveranciers dagen of weken nodig hebben om ze op te lossen.

Volgens een recent rapport verlagen alle patches die Intel moet leveren de pc- en serversnelheid van de gebruiker met ongeveer vijf keer die van AMD's eigen patches. Dit is een grote kloof, vooral omdat Intel meer beveiligingslekken moet oplossen dan AMD.

Intel heeft enkele pogingen ondernomen om de stoepaanval door hardware te vertragen, maar het werd door experts niet overwogen om soortgelijke nieuwe aanvallen te voorkomen. Daarom, als Intel, AMD en andere chipfabrikanten terughoudend zijn om het ontwerp van hun CPU-architectuur te veranderen, kunnen gebruikers voor altijd worden geplaagd door bypass-aanvallen op Spectre-niveau.

Intel Front View lost echter bepaalde kwetsbaarheden op via in-chip-oplossingen. Intel heeft bijvoorbeeld nieuwe, op hardware gebaseerde mitigaties toegevoegd voor veel nieuwe kwetsbaarheden zoals MSBDS, Fallout en Meltdown. AMD heeft geen intra-siliciumbeperkende maatregelen toegevoegd aan zijn reeds verzonden chips, maar heeft het in plaats daarvan toegepast op nieuwere modellen. Het is de moeite waard erop te wijzen dat AMD niet meerdere wijzigingen zoals Intel hoeft aan te brengen om zich tegen kwetsbaarheden te verdedigen, dus het vereist geen op hardware gebaseerde patches.

Intel- en AMD-inspanningen

Nadat de onderzoekers de eerste kwetsbaarheid van Spectre hadden onthuld, beloofde Intel de beveiliging voorop te stellen. Het bedrijf heeft beloofd de gevaren van Spectre-kwetsbaarheden in hardware te verminderen, waarvan er veel zijn gevallen in de huidige generatie processoren.

Maar uiteindelijk zijn dit slechts kleine oplossingen voor problemen die in eerste instantie niet mogen worden vernietigd, en gebruikers zoeken beveiliging in plaats van kapotte architecturen. Dus, hoe zit het met Intel-processors voor gebruikersbeveiliging?

Software Guard eXtensions (SGX) is waarschijnlijk de meest populaire en geavanceerde processorbeveiligingsfunctie die Intel de afgelopen jaren heeft uitgebracht. Met SGX kunnen applicaties gevoelige gegevens zoals coderingssleutels opslaan in een beveiligd virtueel gebied in hardware-gecodeerd RAM dat niet toegankelijk is voor het hostbesturingssysteem of andere applicaties van derden. Een applicatie zoals End-to-end gecodeerde Signal Messenger wordt ook gebruikt om gebruikers veilig en beveiligd te kunnen koppelen.

Intel heeft onlangs ook plannen aangekondigd om SGX verder uit te breiden, zodat het totale geheugenversleuteling (TME) kan bieden in plaats van slechts een klein deel van het geheugen, zoals SGX, te versleutelen.

Hardware-geheugencodering biedt gebruikers aanzienlijke beveiligingsvoordelen omdat het voor toekomstige applicaties moeilijker wordt om gegevens te stelen (geautoriseerde besturingssystemen leggen ook strikte beperkingen op aan API's waarmee applicaties gegevens kunnen delen). Het is echter onduidelijk of Intel en AMD van plan zijn om deze functie beschikbaar te houden voor zakelijke klanten, of dat deze zal worden ingeschakeld voor reguliere gebruikers.

Intel's actie op SGX is AMD tijdelijk voor, dus AMD is laat in opslagcodering. De Ryzen-processor van AMD heeft echter zowel Secure Memory Encryption (SME) als Secure Encryption Virtualization (SEV), die al en nog steeds veel geavanceerder zijn dan Intel. TSME (Transparant MKB) is een striktere subset van MKB-bedrijven die standaard al het geheugen coderen en niet vereist dat de applicatie het ondersteunt met zijn eigen code.

In feite, zoals Intel's SGX, zijn SEV's nog steeds kwetsbaar voor side-track-aanvallen of andere aanvallen die gebruikmaken van encryptiesleutel-toegangsaanvallen. AMD en Intel hebben nog veel werk te doen om ervoor te zorgen dat deze functies vrijwel immuun zijn.

tot slot

Op de korte termijn, ondanks de inspanningen van beide bedrijven, kan de situatie nog erger worden voordat AMD en de processors van Intel veiliger worden. Gebruikers kunnen meer hardwarematige maatregelen treffen - misschien genoeg om de meeste consumenten en de media tevreden te stellen, maar niet genoeg om alle problemen op te lossen vanwege alle moeilijkheden en kosten die gepaard gaan met het omkeren van de hoofdprocessorarchitectuur.

In de komende jaren krijgen gebruikers ook enkele interessante nieuwe beveiligingsfuncties van Intel en AMD. Naarmate meer en meer onderzoekers zich echter dieper gaan verdiepen in hun CPU-microarchitectuur, kunnen ze in de komende jaren in meer beveiligingslekken in de processors van de twee bedrijven terechtkomen.

De twee bedrijven zullen ook jaren doorbrengen met het oplossen van de fouten die onderzoekers in het nieuwe architectuurontwerp hebben ontdekt om de processor volwassener te maken.

Terug naar de oorspronkelijke vraag, wie kan een veiligere processor bieden om gebruikers het veiligste netwerk te bieden? Gebaseerd op het bovenstaande:

Allereerst heeft Intel momenteel 242 openbaar gemaakte kwetsbaarheden en heeft AMD slechts 16 hiaten. De kloof is te groot om te negeren.

Ten tweede lijkt minder dan de helft van de kwetsbaarheden die sinds begin 2018 aan Intel zijn bekendgemaakt, de Ryzen- en Epyc-CPU's van AMD te treffen. Dit kan ook zijn omdat onderzoekers de CPU's van AMD niet primair hebben bestudeerd. Maar AMD's ontwerp van de nieuwe Ryzen-microarchitectuur houdt rekening met de beveiliging van de in wezen op Nehalem gebaseerde microarchitectuur van Intel. Ten minste sinds de komst van de Nehalem-microarchitectuur in 2008 hebben de meeste speculatieve uitvoeringsaanvallen invloed op de CPU van Intel;

Ten slotte lijkt AMD met de release van de nieuwe Zen-architectuur Intel voor te zijn in het ondersteunen van nieuwe hardware-coderingsfuncties. Of AMD dit tempo op het gebied van beveiliging zal handhaven, valt nog te bezien, aangezien Intel alle Spectre-problemen probeert op te lossen en zijn imago bij consumenten te verbeteren, maar voorlopig lijkt AMD voorop te lopen.

Daarom lijken de processors van AMD een veiliger platform op de korte en middellange termijn, zelfs zonder rekening te houden met alle verschillende prestatieverminderingen veroorzaakt door Spectre-gerelateerde patches voor zowel oude als nieuwe systemen.