Sicherheitsbedenken: OpenBSD deaktiviert Intels Hyper-Threading-Technik

Intels Hyper-Threading ist laut OpenBSD wahrscheinlich durch Sicherheitslücken vom Typ Spectre verwundbar. Das Sicherheitsrisiko führt die Entwickler zu einem drastischen Schritt: Die Technik wird im sicherheitsorientierten Betriebssystem standardmäßig deaktiviert.

Artikel veröffentlicht am , Moritz Tremmel
OpenBSD verhindert Timing-Attacken durch Hyper-Threading.
OpenBSD verhindert Timing-Attacken durch Hyper-Threading. (Bild: Agê Barros)

Die Entwickler des Open-Source-Betriebssystems OpenBSD gehen davon aus, dass durch Simultaneous Multithreading (SMT) und speziell Intels proprietäre Umsetzung Hyper-Threading Sicherheitslücken vom Typ Spectre ausgenutzt werden können. Die Technik wird daher im kommenden OpenBSD Release standardmäßig deaktiviert. Nutzer können sie aber per Kernel State händisch wieder aktivieren.

Stellenmarkt
  1. Business Analyst / Process Designer (f/m/d)
    NEXPLORE Technology GmbH, Essen
  2. IT-Systemadministrator (m/w/d) Server & Cloud Management - Backup & Archive
    HÜBNER GmbH & Co. KG, Kassel Waldau
Detailsuche

Durch Hyper-Threading sollen Prozessoren besser ausgelastet werden, indem jeder Prozessorkern in zwei virtuelle Kerne geteilt wird. Diese werden vom Betriebssystem wie zwei echte Kerne behandelt und die anstehenden Rechenoperationen (Threads) auf die virtuellen Kerne verteilt. Entsteht auf einem der virtuellen Kerne eine Rechenlücke, weil beispielsweise Daten aus dem langsameren Arbeitsspeicher in den Prozessorcache geladen werden müssen, werden die wartenden Rechenoperationen des anderen virtuellen Prozessorkerns eingeschoben und die Wartezeit wird so mit Berechnungen überbrückt. Die Rechenoperationen der verschiedenen Kerne laufen letztlich parallel und sorgen für eine höhere Perfomance.

Da sich bei Hyper-Threading und anderen SMT-Techniken verschiedene Rechenoperationen aus unterschiedlichen Sicherheitszonen - etwa Kernel- und Userspace - üblicherweise einen Prozessorkern und dessen TLB- (Translation Lookaside Buffer) und L1-Caches teilen, können Timing-Angriffe auf eben jene Caches deutlich vereinfacht werden. Die OpenBSD-Entwickler sehen ein hohes Risiko, dass hierdurch Sicherheitslücken vom Typ Spectre ausgenutzt werden können und damit aus der jeweiligen Sicherheitszone ausgebrochen werden kann.

Eine Lösung wäre laut den Entwicklern, nur Berechnungen einer Sicherheitszone auf einem physischen Kern beziehungsweise den dazugehörigen virtuellen Kernen auszuführen. Hierfür müsste allerdings der Scheduler, der für die Verteilung der Rechenoperationen zuständig ist, massiv umgebaut werden. Das sei zu kompliziert und zu aufwändig. Aufgrund des hohen Angriffsrisikos haben die Entwickler den Hard-Cut gewählt: Intels Hyper-Threading wird in OpenBSD standardmäßig deaktiviert. Die Performance werde hierdurch nicht pauschal eingeschränkt, da die durch Hyper-Threading erreichte Steigerung stark am Workload hänge und bei mehr als zwei echten Prozessorkernen sogar mit einem negativen Performance-Effekt zu rechnen sei, schränkt OpenBSD ein. Nutzer haben aber weiter die Kontrolle über die Hyper-Threading-Technik und können sie aktivieren. Dies sei notwendig, da in vielen Bios-Implementierungen keine Einstellungsmöglichkeiten zu Intels Hyper-Threading mehr vorhanden seien.

Golem Karrierewelt
  1. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    06.-10.02.2023, Virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    28.02.2023, Virtuell
Weitere IT-Trainings

Die Neuerungen sind bereits im Entwicklungszweig der kommenden OpenBSD Version 6.4 enthalten. Anfang April erschien OpenBSD 6.3, welches einige Sicherheitspatches für die Meltdown- und Spectre Angriffe enthielt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. AVM Fritzbox: FritzOS 7.50 ist da
    AVM Fritzbox
    FritzOS 7.50 ist da

    Das neue Betriebssystem für Fritzboxen bringt viele Neuerungen beim Smart Home, führt Wireguard per QR-Code ein und verbessert IP-Sperren.

  2. Telekom: 5G mit 1 GBit/s kommt auch auf dem Land
    Telekom
    5G mit 1 GBit/s kommt auch auf dem Land

    Carrier Aggregation soll auch ohne viele C-Band-Antennen sehr hohe 5G-Datenraten in die Fläche bringen, indem man alle anderen Frequenzen bündelt.

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Crucial-SSDs günstiger • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ [Werbung]
    •  /