Abo
  • Services:

Meltdown und Spectre: "Dann sind wir performancemäßig wieder am Ende der 90er"

Wir haben mit einem der Entdecker von Meltdown und Spectre gesprochen. Er erklärt, was spekulative Befehlsausführung mit Kochen zu tun hat und welche Maßnahmen Unternehmen und Privatnutzer ergreifen sollten.

Ein Interview von veröffentlicht am
Daniel Gruß erzählt im Interview von seinen Forschungen zu Meltdown und Spectre.
Daniel Gruß erzählt im Interview von seinen Forschungen zu Meltdown und Spectre. (Bild: Helmut Lunghammer/TU Graz mit freundlicher Genehmigung)

Daniel Gruß kennt sich mit Sicherheitslücken in Hardware aus. Gemeinsam mit anderen hat er bereits Sicherheitslücken in DRAM-Modulen aufgedeckt, die sogenannten Rowhammer-Bitflips. Auch an der Forschung zu den CPU-Sicherheitslücken Meltdown und Spectre war er mit anderen Forschern der TU Graz und Jann Horn von Googles Project Zero beteiligt.

Gruß gibt im Interview mit Golem.de über Meltdown und Spectre Entwarnung für Privatnutzer. Diese müssten derzeit wenig fürchten, wenn sie ihr Betriebssystem auf dem aktuellen Stand halten und die Meltdown-Patches von Microsoft, Apple oder im Linux-Kernel installieren. Denn obwohl die Spectre-Lücken schwieriger zu schließen sind als Meltdown, gibt es für Letzteres bereits erste Exploits.

Viele der mit Spectre und Meltdown bekanntgewordenen Probleme werden uns nach Meinung unseres Experten über die kommenden Jahre begleiten. Es gäbe zwar Möglichkeiten, die Sicherheitsprobleme etwa durch die komplette Deaktivierung der Branch-Prediction komplett zu verhindern. Doch dann, so Gruß, würden wir von der Performance her dort landen, wo wir Ende der 90er waren.

Golem.de: In einfachen Worten: Welche Funktionsweisen von Prozessoren nutzen die Sicherheitslücken aus, die Ihr Team gefunden hat?

Stellenmarkt
  1. SSI SCHÄFER Automation GmbH, Giebelstadt bei Würzburg
  2. AMS Marketing Service GmbH, München

Daniel Gruß: Eigentlich ist das wie beim Kochen: Es passiert mir häufiger, dass ich dabei das ganze Rezept durchgehe und ganz am Ende steht dann "Jetzt mit Reis servieren". Und dann denke ich: Ich habe noch gar keinen Reis gekocht. Dann habe ich einfach nicht weit genug vorausgeschaut. Der Prozessor hat ein ähnliches Problem.

Deswegen startet er schon mal alle Prozesse, die parallel laufen können. Bei der spekulativen Befehlsausführung zieht der Prozessor also Berechnungen vor, die er aktuell noch nicht machen müsste, aber später brauchen könnte. Das führt aber dazu, dass am Ende auch Ergebnisse berechnet werden, die er letztlich gar nicht braucht, weil es in den Programmen Verschachtelungen und Alternativen gibt. Manchmal will ich eventuell was Vegetarisches kochen, mal was mit Fleisch. Ich als Mensch kann meist beurteilen, was ich am Ende benötige. Der Prozessor hingegen führt einfach stur Befehle aus und versucht, möglichst viel spekulativ auszuführen. Das können Angreifer ausnutzen.

Das zweite, was wir ausnutzen, ist das Caching von Informationen. Das kommt beim Kochen genauso vor. Wenn ich Kartoffeln kochen will, dann muss ich die natürlich vorher einkaufen - und das dauert lange. Und dann komm ich zurück und mir fällt auf, dass ich auch Karotten brauche - dann muss ich schon wieder zum Geschäft, und das dauert dann natürlich wieder sehr lang. Deswegen ist es clever, dass ich die Kartoffeln oder Karotten, die ich nicht gebraucht habe, lokal einlagere, etwa im Kühlschrank oder einem Kasten, so dass ich sie nachher immer griffbereit habe, wenn ich was Ähnliches zubereite.

Der Prozessor macht eigentlich genau das Gleiche. Der holt sich Daten aus dem langsameren Arbeitsspeicher und speichert sie in seinem Cache zwischen. Und da sind sie immer abrufbereit für neue Arbeitsaufträge. Das sind die beiden Effekte, die wir ausnutzen.

Erst Befehle ausführen, dann Fehlermeldungen prüfen 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. und 25€ Steam-Gutschein erhalten
  3. 39,99€ statt 59,99€
  4. und The Crew 2 gratis erhalten

tomas_13 25. Jan 2018

Das ist der Nachteil: Du hast einen Patch installiert, den du eigentlich nicht brauchst...

tomas_13 25. Jan 2018

Du glaubst nur, es besser verstanden zu haben. Solange du nicht die richtige Erklärung...

tomas_13 25. Jan 2018

Wenn Spectre nicht prozessübergreifend ist, sind dann Chrome und FF nicht relativ sicher...

intergeek 22. Jan 2018

Sagen wir mal so, so verständlich wie das ein Techniker einem Nichttechniker wohl...

SkyNet2030 22. Jan 2018

Alles schön und gut, aber die Frage nach dem warum ist meiner Meinung nach nicht gut...


Folgen Sie uns
       


Electronic Arts E3 2018 Pressekonferenz - Live

Mit Command & Conquer Rivals wollte sich die Golem.de-Community so gar nicht anfreunden, da haben Anthem und Unraveled Two mehr überzeugt.

Electronic Arts E3 2018 Pressekonferenz - Live Video aufrufen
Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Roboat MIT-Forscher drucken autonom fahrende Boote
  2. Elektromobilität Norwegen baut mehr Elektrofähren
  3. Elektromobilität Norwegische Elektrofähre ist sauber und günstig

Github-Übernahme: Ein super Deal - für Microsoft und den Rest
Github-Übernahme
Ein super Deal - für Microsoft und den Rest

Mit der Übernahme von Github manövriert sich Microsoft geschickt aus einer Abhängigkeit und stärkt dabei noch sein Cloud-Geschäft. Das setzt wohl vor allem Atlassian unter Druck. Was der Kauf für das Open-Source-Engagement Githubs bedeutet, ist damit eigentlich auch völlig klar.
Eine Analyse von Sebastian Grüner

  1. Code-Hosting Microsoft übernimmt Github für 7,5 Milliarden US-Dollar
  2. Entwicklerplattform Microsoft will Github kaufen
  3. Verschlüsselung Github testet Abschaltung alter Krypto

Gemini PDA im Test: 2004 ist nicht 2018
Gemini PDA im Test
2004 ist nicht 2018

Knapp über ein Jahr nach der erfolgreichen Finanzierung hat das Startup Planet Computers mit der Auslieferung seines Gemini PDA begonnen. Die Tastatur ist gewöhnungsbedürftig, längere Texte lassen sich aber mit Geduld durchaus damit tippen. Die Frage ist: Brauchen wir heute noch einen PDA?
Ein Test von Tobias Költzsch und Sebastian Grüner

  1. Atom Wasserfestes Mini-Smartphone binnen einer Minute finanziert
  2. Librem 5 Freies Linux-Smartphone wird größer und kantig
  3. Smartphone-Verkäufe Xiaomi erobert Platz vier hinter Huawei, Apple und Samsung

    •  /