Spectre-fix Intel ondermijnt Spectre-afweer Google

De opmerking dat Intels architectuuraanpassingen niet samengaan met het door Google ontwikkelde Retpoline is slechts een voetnoot in de paper over het nieuwe  processorontwerpprincipe. Dit draagt de naam SafeSpec en is expliciet ontwikkeld als tegenmiddel voor de beveiligingsrisico’s van speculatieve code-uitvoering.

Lekkage door speculatie

Speculatieve uitvoering van programmacode is de kernoorzaak van de datalekkage die dankzij processorsbugs Spectre en Meltdown mogelijk is. Het gaat hierbij om de eigenschap van hedendaagse processors om verschillende code-aftakkingen (inclusief data zoals wachtwoorden) pro-actief uit te voeren zodat een eenmaal gekozen ‘route’ dan al klaar staat voor de software.

Deze aanpak geeft een aanzienlijke versnelling, maar blijkt dus ook een kwetsbaarheid te zijn. Via een zogeheten side-channel aanval kan de data in een speculatief codepad worden uitgelezen. Dit vormt een nog wat ernstiger risico op multi-user machines, zoals servers en virtuele machines in cloudomgevingen.

Inmiddels zijn er vier varianten van Spectre/Meltdown, met nog een a-uitvoering van de derde variant. Voor elk van deze kwetsbaarheden bestaan weer verschillende exploits. De mate van misbruikbaarheid wisselt echter, en de bugs zijn vooralsnog moeilijk uit te buiten. In de praktijk hebben veel ICT-leveranciers, inclusief computerproducenten, softwaremakers en cloudaanbieders, al beperkende maatregelen en fixes doorgevoerd.

Prestatieverlies beperken

De toepassing daarvan is echter ook moeilijk en blijkt in bepaalde gevallen prestatieverlies op te leveren. Zo heeft Intel laatst al aangegeven dat zijn nieuwste fix voor de recent geopenbaarde vierde variant een prestatie-impact heeft van 2 tot wel 8 procent. Deze achteruitgang geldt voor clientsystemen (pc’s) en ook voor servers.

De daadwerkelijke impact is afhankelijk van de specifieke workload en de daarvoor gebruikte applicatie. Intel heeft dit eerder al benadrukt voor het uiteindelijk toegegeven prestatieverlies door andere, eerder uitgebrachte fixes voor deze processorkwetsbaarheden. ICT-grootgebruikers als Google en Microsoft hebben echter ontdekt dat het prestatieniveau geraakt wordt door de patches en dat de impact zelfs inconsistent kan zijn.

De door Google ontwikkelde Spectre-tegenmaatregel Retpoline weet het prestatieverlies terug te dringen tot verwaarloosbare impact. Deze softwaregebaseerde fix is geen definitieve oplossing maar vormt een beperking (mitigation) tegen variant twee van Spectre. Retpoline is een samentrekking van return trampoline en zorgt ervoor dat speculatieve code-uitvoering eindeloos heen en weer springt.

Hierdoor is de daarin opgenomen data niet uit te lezen door andere processen die draaien op het systeem. Deze effectieve oplossing wordt dus echter ‘gebroken’ door Intels architecturale aanpassingen die bijna op de markt zijn, schrijven de ontwerpers van SafeSpec. Zij hebben dit begrepen uit gesprekken met Intel-ingenieurs.

Leeftijd en compatibiliteit

AG Connect heeft vragen hierover uitgezet bij Intel, die echter nog moet terugkomen op vragen over Spectre/Meltdown die AG Connect in januari en februari heeft ingediend. De processorproducent heeft toen doorverwezen naar zijn pr-bureau wat AG Connect heeft laten weten dat de informatieverzoeken “zijn gedeeld met de juiste mensen bij Intel”.

Het is dus nog onbekend hoe ver Intel met zijn firmwarefixes teruggaat - of van plan is terug te gaan - wat leeftijd van zijn processors betreft. In eerste instantie bleek de patchgrens op vijf jaar te zijn gezet door Intel. Dit terwijl de kwetsbaarheden schuilen in processorontwerp dat al ruim twintig jaar als basis dient. Ook is het vooralsnog onbekend of de aankomende herziene processors compatibel zijn met huidige CPU-sockets op moederborden.

‘Dit jaar nog’

Intels pr-bureau heeft AG Connect nu opnieuw de toezegging gedaan intern navraag te doen en met een antwoord te komen. “Excuses voor de vertraging in het reageren”, begint de pr-functionaris de reply nu. “Dank voor het geduld in de tussentijd.” De computerindustrie en ICT-gebruikende organisaties wachten ondertussen ook nog af. Intel heeft eerder verklaard dat zijn herziene processors “dit jaar nog” op de markt komen.

Ondertussen belooft SafeSpec niet alleen grotendeels bescherming tegen Spectre, Meltdown en soortgelijke side-channel aanvallen. Het nieuwe ontwerp voor lekkagebestendige processors zou een minimale overhead hebben en dus ook het prestatieniveau van CPU’s ‘beschermen’. Dit verklaart informaticaprofessor Nael Abu-Ghazaleh die mede-auteur is van de paper, in een interview met The Register. Het is echter niet bekend of en wanneer Intel dit design omarmt voor zijn processors.