(文章来源:半导体投资联盟)
随着越来越多的用户开始怀疑哪种处理器可以更好地保护自己的计算机、数据和在线活动,英特尔和AMD之间的长达数十年的斗争近来已进入一个新的层面。虽然一直以来,大部分普通用户和网络安全研究人员为过多的软件漏洞担心,而这些漏洞似乎永远不会消失。但是,在2018年1月开始,许多用户和安全研究人员意识到,为我们的设备提供动力的硬件并不像我们以前想象的那样安全或没有严重的安全问题。
这给我们留下了一个问题:哪个公司的处理器更安全?研究数据认为英特尔目前有242个公开披露的漏洞,而AMD只有16个,看起来AMD的处理器安全得多,但是两家公司在安全方面也分别进行了一系列努力。
AMD CPU也受到PortSmash的影响,PortSmash是一个影响其同时多线程(SMT)功能的漏洞,该功能类似于英特尔的超线程。 AMD处理器也容易受到NetSpectre和SplitSpectre的攻击,因为这些漏洞影响了处理器,而这些处理器也容易受到Spectre v1的攻击,以及Spectre变体2的影响,该公司为此发布了更新,但它表示,与英特尔的设计相比,其架构存在差异,“利用风险几乎为零”。
AMD的芯片也会受到研究人员发现的七种新的Meltdown和Spectre攻击中的五种的攻击,英特尔的芯片则容易受到这七个漏洞的影响。AMD的CPU(包括最新的Ryzen和Epyc处理器)不受以下因素的影响:Meltdown (Spectre v3)、Spectre v3a、LazyFPU、TLBleed、Spectre v1.2、L1TF/Foreshadow、SPOILER、SpectreRSB、MDS attacks (ZombieLoad, Fallout, RIDL)、SWAPGS。
不难发现,与英特尔处理器相比,AMD的CPU似乎对推测执行攻击具有更高的灵活性。但是,与Spectre v1高度相似的缺陷似乎也继续影响着AMD的处理器。好消息是,在大多数情况下,原始的Spectre v1固件缓解措施也可以防止这些新的漏洞。英特尔和AMD都针对上述所有缺陷发布了固件和软件补丁,不过,如果更新过程取决于主板或设备制造商而不是英特尔/ AMD或OS供应商,则并非所有缺陷都已经到达用户端,例如微软,苹果等。
在被大众所知之前,芯片制造商大约有六个月的时间对原始的Spectre和Meltdown缺陷进行警告。这引起了争议,因为并非所有操作系统供应商都同时了解它们,有些厂商可能需要几天或几周的时间来解决这些错误。根据最近的一份报告,英特尔必须提供的所有修补程序使用户的PC和服务器速度降低了大约是AMD自己的修补程序的五倍。这是一个很大的差距,主要是因为英特尔必须比AMD解决更多的安全漏洞。
英特尔做出一些尝试,通过硬件方式减缓旁道攻击,但是被专家认为不足以阻止类似新攻击的出现。因此,如果英特尔,AMD和其他芯片制造商不愿意改变其CPU架构的设计,那么用户可能永远被Spectre级的旁道攻击所困扰。
不过,英特尔正视图通过芯片内修复程序来修补某些漏洞。例如英特尔为MSBDS,Fallout和Meltdown等许多新漏洞添加了新的基于硬件的缓解措施。AMD未在其已出货的芯片中增加硅内缓解措施,而是将其应用于更新的型号中。值得指出的是,AMD不需要像英特尔一样进行多种改动来抵御漏洞,因此它并不需要基于硬件的修补程序。
在研究人员披露了第一个Spectre漏洞之后,英特尔承诺将安全性放在首位。该公司已承诺减轻硬件中Spectre漏洞的危害,其中许多已经落入当前一代的处理器中。但是,最终这些只是对最初不应该被破坏的问题的小规模修复,用户寻求安全性,而不是修复已破坏的架构。那么,关于用户安全性,英特尔处理器还能提供什么呢?
Software Guard eXtensions(SGX)可能是英特尔近年来发布的最受欢迎,最先进的处理器安全功能。SGX使应用程序可以将诸如加密密钥之类的敏感数据,存储在主操作系统或其他第三方应用程序无法访问的硬件加密的RAM中的安全虚拟区域中。还采用了端到端加密的Signal Messenger这类应用程序,以便它可以将用户安全私密地配对。
英特尔最近还宣布了进一步拓展SGX的计划,以便它可以提供总内存加密(TME),而不是像SGX那样仅加密一小部分内存。硬件内存加密将为用户带来显著的安全优势,因为这会使将来应用程序更难窃取数据(授权的操作系统也对允许应用程序共享数据的API进行了严格限制)。但是,目前尚不清楚英特尔和AMD是否打算将此功能留给企业客户使用,或者是否也将为主流用户启用。
英特尔在SGX上的动作暂时领先于AMD,因此AMD在存储加密方面已经晚了。不过随后AMD推出的Ryzen处理器既具有安全内存加密(SME)功能,又具有安全加密虚拟化(SEV)功能,这些功能已经并且仍然比英特尔先进得多。TSME(Transparent SME)是SME的更严格子集,默认情况下会加密所有内存,并且不需要应用程序以自己的代码来支持它。
事实上,像英特尔的SGX一样,SEV仍然容易受到旁道攻击或其他利用加密密钥访问攻击的攻击。在确保这些功能几乎不受攻击方面,AMD和英特尔仍有许多工作要做。
(责任编辑:fqj)
-
amd
+关注
关注
25文章
5193浏览量
132632 -
英特尔
+关注
关注
60文章
9413浏览量
168770
发布评论请先 登录
相关推荐
评论