Abo
  • Services:

IBRS und Retpoline: Linux-Entwickler diskutieren weiter über Spectre-Paches

Nach ausfälligen Kommentaren von Linux-Chefentwickler Linus Torvalds erklärt ein Amazon-Entwickler ausführlich den geplanten Verwendungszweck der verschiedenen Patches gegen den Spectre-Angriff. Einigkeit über das Vorgehen herrscht aber immer noch nicht.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Wie weiter mit den Spectre-Pachtes? Die Kernel-Community ist sich da noch uneins.
Wie weiter mit den Spectre-Pachtes? Die Kernel-Community ist sich da noch uneins. (Bild: Liam Quinn, flickr.com/CC-BY-SA 2.0)

Nachdem sich Linux-Erfinder und -Chefentwickler Linus Torvalds über die derzeit verfügbaren Patches gegen eine Variante des Spectre-Angriffs aufgeregt hat, erklärt der ehemalige Intel-Entwickler und nun bei Amazon angestellte Kernel-Hacker David Woodhouse, was die drei neuen Funktionen bewirken, die über Microcode-Updates bereitgestellt werden, und wo die Alternative Retpoline genutzt werden kann.

Inhalt:
  1. IBRS und Retpoline: Linux-Entwickler diskutieren weiter über Spectre-Paches
  2. Retpoline für bessere Geschwindigkeit

Mit den Microcode-Updates sei wohl niemand wirklich glücklich, stellt Woodhouse zunächst fest, sie seien aber für aktuelle Hardware die einzige Möglichkeit, da man hier lediglich nachträgliche Änderungen am Microcode vornehmen könne. Also sei man auf diese Möglichkeiten beschränkt.

Die Funktionen sind alle dazu gedacht, das Ausnutzen der Spectre-2-Lücke (Branch Target Injection, CVE-2017-5715) zu verhindern. Über diese lässt sich die CPU dazu bewegen, das Ziel einer indirekten Codeausführung zu verfälschen, um so Zugriff auf privilegierten Speicher zu erhalten.

Drei Microcode-Funktionen

Funktion Nummer eins nennt sich Indirect Branch Prediction Barrier (IBPB). Die Barriere soll im Zuge von Kontextwechseln verhindern, dass der Prozessor bereits bekannte Branch Targets verwendet. Die Funktion ist laut Woodhouse recht CPU-intensiv und benötigt rund 4.000 CPU-Zyklen.

Stellenmarkt
  1. medac Gesellschaft für klinische Spezialpräparate mbH, Wedel bei Hamburg
  2. Wirecard Service Technologies GmbH, Aschheim bei München

Eine zweite Funktion trägt den Namen Single Thread Indirect Branch Predictors (STIBP). Sie hält Zwillingsthreads beim Hyperthreading davon ab, den Branch-Vorhersagen des anderen Zwillings zu folgen. Sinnvoll sei die Funktion, wenn unzusammenhängende Prozesse im Userspace laufen. Oder wenn verschiedene VM-Gäste beim Hyperthreading Zwillingsprozesse verwenden.

Die dritte Funktion ist etwas komplexer. Die Indirect Branch Restricted Speculation (IBRS) wird gesetzt, sobald die CPU in einen privilegierten Modus fällt. In diesem Fall sorgt der Code dafür, dass die CPU die in einem weniger privilegierten Modus erlernten Ziele für den Codezweig vergisst.

Speziell gegen IBRS richtete sich auch die Kritik von Linus Torvalds. Woodhouse räumt ein, dass IBRS bei jedem Eintritt in den Kernelspace gesetzt werden müsse, was es nicht nur teuer mache, sondern zugleich ein "mieser Hack" sei. Woodhouse hält ihn allerdings für alternativlos.

Da die CPU trotz IBRS nicht zwischen verschiedenen Userspace-Prozessen und Gast-VMs entscheiden könne, bräuchte man auch die IBP-Barriere für Kontextwechsel und Wechsel beim Beenden und Speichern einer Gast-VM (vmexit). Während die VMs laufen, benötige man zudem eventuell STIBP. Alles zusammen wirke sich recht negativ auf die Performance aus.

Retpoline für bessere Geschwindigkeit 
  1. 1
  2. 2
  3.  

Themenseiten:

Meistgelesen
  1. Funkloch-Report
    Was Betreiber und Politik gegen Mobilfunk-Lücken tun wollen
  2. Jugendschutz
    Warum kaum noch Games auf dem Index landen
  3. Neue Technik
    Bosch verkündet Durchbruch für saubereren Diesel
  4. Neues Sky Ticket im Hands On
    Endlich Komfort wie bei Netflix und Co
  5. Frostpunk im Test
    Der letzte Aufbau
Anzeige
Spiele-Angebote
  1. (-35%) 38,99€
  2. 16,99€
  3. (-75%) 9,99€
  4. 39,99€
Folgen Sie uns
       
Rimac Concept Two (C_Two) angesehen (Genf 2018)

Wir haben uns auf dem Genfer Autosalon 2018 den C_Two von Rimac angesehen.

Rimac Concept Two (C_Two) angesehen (Genf 2018) Video aufrufen
God of War
God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018
AdBlocker
Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
Adblock Plus
Bundesgerichtshof erlaubt Einsatz von Werbeblockern

Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

  1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen
Facebook
Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Datenskandal Bundesregierung erwägt strenge Facebook-Regulierung
  2. Quartalsbericht Facebook macht fast 5 Milliarden US-Dollar Gewinn
  3. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /