還記得去年的Spectre和Meltdown的安全漏洞嗎？英特爾和AMD真的不希望這樣。他們希望你理解，這些投機的執(zhí)行漏洞不會消失，至少目前為止還沒有提出解決方案。

永久性的修復將需要對CPU的設計方式進行根本性地更改，而不是嘗試修復隨附的每個變體。這個提議－一個“安全核心”，確保您的數(shù)據(jù)不會受到攻擊者的攻擊，無論他們試圖利用什么漏洞。

這可能不是這些大型處理器公司想要走的路線，但它可能是唯一一條能夠實現(xiàn)的路線。

從根開始

當新一代處理器推出時，每個人都會問的第一個問題是，“它有多快？”“更多的兆赫、更多的核心、更多的緩存，所有這些都可以使應用程序運行更快，游戲性能更好。第二個考慮因素可能是電力需求或熱輸出，但很少有人問安全性。

問題在于，過去幾年的性能提升主要是由推測預測推動的，即CPU會猜測你下一步要做什么，并準備好你可能需要的一切。這對于性能來說非常好，但正如Spectre及其變體所示，對于安全性來說非常糟糕。

Malwarebytes高級安全研究公司Jean－Philippe Taggart告訴Digital Trends，“投機執(zhí)行已經(jīng)成為CPU性能優(yōu)化的一個長期特征?！彼忉尩?，正是這個特性使得英特爾和其他公司的CPU容易受到幽靈和類似攻擊。他說：“CPU架構需要重新考量，要么保留這些性能并增強它們，要么保護它們免受幽靈之類的攻擊，要么完全消除它們?！?/p>

一個潛在的解決方案是為下一代CPU添加新的硬件。與處理高馬力處理核心上的敏感任務不同，如果芯片制造商將這些核心與一個專門為此類任務設計的額外核心結合在一起會怎么樣？

這樣做可能會使Spectre及其變體成為新硬件的問題。明天的主要CPU核心是否容易受到此類攻擊并不重要，因為這些核心不再處理私有或安全信息。

信任的根源不僅僅是一個粗略的輪廓。在某些情況下，它已經(jīng)是一個可行的產(chǎn)品，所有像英特爾或AMD這樣的主要芯片公司都需要利用它，就是采用它。

回避幽靈

Rambus產(chǎn)品管理高級總監(jiān)Ben Levine在被問及持續(xù)的幽靈變種威脅時告訴Digital Trends：“如果你總是被動的，必須等待安全漏洞，然后再修復它們，那么在安全方面就很困難了?！薄霸噲D使復雜處理器安全的問題確實是一個困難的方法。這就是我們提出的將安全關鍵功能移動到單獨核心的方法?！?/p>

Rambus產(chǎn)品管理高級總監(jiān)Ben Levine

雖然不是第一個提出這樣一個想法的人，但Rambus已經(jīng)對它進行了改進。它的CryptoManager Root of Trust是一個獨立的核心，可以放在一個主要的CPU芯片上，有點像許多移動處理器中的big．little概念，甚至是英特爾自己的新Lakefield設計。但是，如果這些芯片使用較小的內核來節(jié)省能源，那么安全的核心信任根將首先關注安全性。

它可以將處理器與加密加速器以及自己的安全內存結合起來，而不需要考慮主要CPU的某些方面。這將是一個相對簡單的設計，相比于今天運行我們的計算機的可怕的通用CPU，但這樣做會更安全。

在保護自身的過程中，安全核心可以承擔最敏感的任務，而一般用途的CPU核心通常會處理這些任務。安全加密密鑰、驗證銀行事務、處理登錄嘗試、在安全內存中存儲私有信息或檢查啟動記錄在啟動期間未損壞。

所有這些都有助于提高使用它的系統(tǒng)的總體安全性。更好的是，由于它將缺乏推測性的性能增強，它將完全安全地抵御類似幽靈的攻擊，使它們失效。這些攻擊仍然可以對主CPU核心進行攻擊，但由于它們不會處理任何值得竊取的數(shù)據(jù)，因此無關緊要。

“我們的想法不是設計出一個做每件事都非常快速和安全的CPU，而是可以讓我們針對不同的目標分別優(yōu)化不同的內核?！?Levine解釋說?！白屛覀儍?yōu)化我們的主CPU以獲得性能或更低的功耗，無論對于該系統(tǒng)重要的是什么，優(yōu)化另一個核心以實現(xiàn)安全性是必要的。現(xiàn)在，我們有了這兩個單獨優(yōu)化的處理域，并且考慮到計算和系統(tǒng)的特點，在其中任何一個域中進行處理都是最合適的?！?/p>

這樣的核心操作起來有點像蘋果在iMac上推出的t2協(xié)處理器芯片，后來在2018年實施。

安全，但成本是多少？

人們常說復雜性是安全的敵人。這就是Rambus提出的安全核心設計相對簡單的原因。并不像臺式機或筆記本電腦中的典型CPU那樣，是一個具有多核和高時鐘速度的大而可怕的芯片。

那么，這是否意味著如果將這樣的核心與現(xiàn)代芯片一起使用，我們會犧牲性能？不一定。
從安全核心的概念來看，無論是Rambus的CryptoManager信任根，還是來自另一家公司的類似設計，重要的是它只會執(zhí)行專注于隱私或安全的任務。您不需要它在游戲過程中接管圖形卡，或在Photoshop中調整圖像。您可能更喜歡它來處理通過聊天應用加密您的消息。這就是專用硬件可以在安全性之外獲得一些好處的地方。

Levine說：“加密算法、加密或解密算法（如AES）或使用公鑰算法（如RSA或橢圓曲線）等，這些操作在軟件中的執(zhí)行速度相對較慢，但安全核心可以有硬件加速器來更快地執(zhí)行這些操作。”

這是Arm的物聯(lián)網(wǎng)安全負責人，Rob Coombs非常贊同。

“通常信任的根源將構建在加密加速器中，因此需要更多的芯片，但其好處在于，它對加密函數(shù)等功能具有更高的性能，因此您不需要僅僅依靠處理器來執(zhí)行文件的常規(guī)加密。”他說。“處理器可以設置它，然后加密引擎可以咀嚼數(shù)據(jù)并對其進行加密或解密。你將獲得更高的性能。“

像英特爾這樣的現(xiàn)代處理器確實有自己的加密加速器，因此，在這種情況下，加密或解密從根本上來說可能不會比通用CPU完成相同任務更快，但這是可以比較的。

Rob Coombs，ARM物聯(lián)網(wǎng)安全主管

盡管Coombs在他與我們的談話中強調，信任核心的根源需要一些額外的硅片來生產(chǎn)，但是這樣做的成本，諸如制造價格、芯片的功率消耗或熱輸出等其他重要因素，基本上不會受到影響。

Rambus的Ben Levine同意了。

“與其他一切相比，安全核心很小，”他說?！皩π酒?，功率或散熱要求的成本確實沒有顯著影響。如果你仔細設計的話，你可以在一個非常小的邏輯區(qū)域做很多事情。我們的目標是簡單，如果你保持簡單，你就保持小。如果它很小，那就是低功耗?！?/p>

他唯一需要注意的是，在像物聯(lián)網(wǎng)中使用的更小，更低功耗的設備中，Rambus的安全核心將對功率和成本產(chǎn)生更大的影響。這就是ARM更模塊化的方法可能出現(xiàn)的地方。

大，小，安全

ARM是在同一個處理器中使用大CPU、小CPU或大內核和小內核的早期先驅。今天，它也是高通公司和蘋果公司移動設備中的一個常見功能。當需要時，它可以看到用于重載提升的較大CPU內核，而較小的內核可以處理更常見的任務，從而節(jié)省電力。ARM的方法基于這樣一個思想，即在主芯片中建立信任的基礎，以及在更廣泛的設備陣列中使用的更小的微控制器。

Coobs向Digital Trends解釋說：“我們定義了一個叫做psa（平臺安全架構）的信任根，其中包含一些基本的安全功能，如加密、安全引導、安全存儲；每個物聯(lián)網(wǎng)設備都需要這些功能。

在所有主要的芯片制造商中，Arm可能是受幽靈和崩潰影響最小的。英特爾最容易遭受最廣泛的潛在攻擊，AMD不得不發(fā)布大量的微碼和軟件調整，在證實投機性執(zhí)行錯誤之前，Arm能夠支撐其已經(jīng)強大的防御措施。

現(xiàn)在，Arm正致力于保護物聯(lián)網(wǎng)。Coombs認為，一個安全的核心，信任的根源是最好的方法之一，他希望看到每個物聯(lián)網(wǎng)設備都實現(xiàn)這樣的系統(tǒng)。為了實現(xiàn)這一目標，Arm針對當今物聯(lián)網(wǎng)開發(fā)人員面臨的安全問題提供了開源軟件，開發(fā)指南和硬件解決方案。

“我們已經(jīng)創(chuàng)建了一個開源和參考實現(xiàn)，現(xiàn)在通過PSA認證，我們已經(jīng)創(chuàng)建了一個多級安全方案，人們可以在該方案中選擇他們需要的安全穩(wěn)健性?！盋oombs說。“不同的系統(tǒng)需要不同的安全性。我們希望使其適合物聯(lián)網(wǎng)領域?！?/p>

將這些原則應用于筆記本電腦和臺式機中的大型通用CPU，最終結果不會有太大差異。根據(jù)Rambus的Ben Levine的說法，雖然這種芯片不會在大芯片旁邊有小的核心，但它們可以在芯片上實現(xiàn)安全的核心，而不會有太大的困難。

他說：“這些核心應該并且需要比英特爾或AMD芯片中的主要大CPU核心小得多。”它不是7加1，而是8或任何核心處理器，以及一個或多個小型安全核心，為所有其他核心提供安全功能。

至關重要的是，這樣的核心實現(xiàn)起來甚至不復雜。

Julian Chokkattu ／數(shù)字趨勢

“我們不會在將新芯片納入消費產(chǎn)品的芯片設計周期中增加太多，”他說?！拔覀兊挠绊憣浅Ｐ?。這將是一個正常的產(chǎn)品生命周期，即將芯片架構開發(fā)投入生產(chǎn)，然后再投入到運輸產(chǎn)品中?！?/p>

把它帶給大眾

安全性可能是一個雞毛蒜皮的問題，開發(fā)人員不希望在沒有客戶特定需求或要求的情況下實施它。但是，如果硬件制造商將他們現(xiàn)有的CPU核心與安全的核心信任根相結合，那么軟件開發(fā)人員的工作就相對容易了。

“根據(jù)應用程序的不同，安全核心的大量使用將在操作系統(tǒng)和系統(tǒng)級別完成，而不是在應用程序級別，”Levine解釋說。“如果您正在構建您的操作系統(tǒng)和整個系統(tǒng)軟件，那么您可以利用大部分安全功能，而無需應用程序開發(fā)人員擔心。您可以提供API來公開應用程序開發(fā)人員可以輕松使用的一些安全核心功能，如加密和解密數(shù)據(jù)?！?/p>

英特爾

通過將信任的根源整合到硬件本身中，并將實現(xiàn)信任的責任留給操作系統(tǒng)，軟件開發(fā)人員可以迅速從增加的安全性中獲益，這些安全性可以應用到計算的各個方面，包括避免幽靈及其同類的陷阱。

這可能是像英特爾和AMD這樣的公司到目前為止出現(xiàn)問題的地方。盡管它們的補丁、微碼修復和硬件調整幫助緩解了一些類似幽靈的攻擊問題，但它們都有自己的陷阱。性能已經(jīng)降低，在許多情況下，設備制造商不應用可選補丁，因為他們不想輸?shù)魟恿妭涓傎悺?br/>相反，Rambus，Arm和其他人正在尋求完全避開這個問題。

“我們并不是在宣稱我們正在修復幽靈或熔化，我們所說的首先是這些漏洞不是唯一的漏洞，”萊文說。“總會有更多?，F(xiàn)代處理器的復雜性使其不可避免。讓我們改變問題，讓我們接受通用CPU中存在更多漏洞以及我們非常關心的事情，比如密鑰，憑據(jù)，數(shù)據(jù)，讓它從CPU中移出，讓我們繞過整個問題?！?/p>

這樣，用戶可以相信他們的系統(tǒng)是安全的，而不必犧牲任何東西。信任硬件的根意味著任何被盜的數(shù)據(jù)對任何人都是無用的。它將幽靈的鬼魂留在冗余的陰暗境界，在那里它可以繼續(xù)困擾那些使用舊硬件的人。但是，隨著人們升級到新的，信任裝備的未來幾代硬件的根源，它將變得越來越無關緊要而且不那么令人擔憂。