• IT-Karriere:
  • Services:

Sicherheitsbedenken: OpenBSD deaktiviert Intels Hyper-Threading-Technik

Intels Hyper-Threading ist laut OpenBSD wahrscheinlich durch Sicherheitslücken vom Typ Spectre verwundbar. Das Sicherheitsrisiko führt die Entwickler zu einem drastischen Schritt: Die Technik wird im sicherheitsorientierten Betriebssystem standardmäßig deaktiviert.

Artikel veröffentlicht am , Moritz Tremmel
OpenBSD verhindert Timing-Attacken durch Hyper-Threading.
OpenBSD verhindert Timing-Attacken durch Hyper-Threading. (Bild: Agê Barros)

Die Entwickler des Open-Source-Betriebssystems OpenBSD gehen davon aus, dass durch Simultaneous Multithreading (SMT) und speziell Intels proprietäre Umsetzung Hyper-Threading Sicherheitslücken vom Typ Spectre ausgenutzt werden können. Die Technik wird daher im kommenden OpenBSD Release standardmäßig deaktiviert. Nutzer können sie aber per Kernel State händisch wieder aktivieren.

Stellenmarkt
  1. Hydro Aluminium Rolled Products GmbH, Neuss
  2. Stadt Freising Personalamt, Freising bei München

Durch Hyper-Threading sollen Prozessoren besser ausgelastet werden, indem jeder Prozessorkern in zwei virtuelle Kerne geteilt wird. Diese werden vom Betriebssystem wie zwei echte Kerne behandelt und die anstehenden Rechenoperationen (Threads) auf die virtuellen Kerne verteilt. Entsteht auf einem der virtuellen Kerne eine Rechenlücke, weil beispielsweise Daten aus dem langsameren Arbeitsspeicher in den Prozessorcache geladen werden müssen, werden die wartenden Rechenoperationen des anderen virtuellen Prozessorkerns eingeschoben und die Wartezeit wird so mit Berechnungen überbrückt. Die Rechenoperationen der verschiedenen Kerne laufen letztlich parallel und sorgen für eine höhere Perfomance.

Da sich bei Hyper-Threading und anderen SMT-Techniken verschiedene Rechenoperationen aus unterschiedlichen Sicherheitszonen - etwa Kernel- und Userspace - üblicherweise einen Prozessorkern und dessen TLB- (Translation Lookaside Buffer) und L1-Caches teilen, können Timing-Angriffe auf eben jene Caches deutlich vereinfacht werden. Die OpenBSD-Entwickler sehen ein hohes Risiko, dass hierdurch Sicherheitslücken vom Typ Spectre ausgenutzt werden können und damit aus der jeweiligen Sicherheitszone ausgebrochen werden kann.

Eine Lösung wäre laut den Entwicklern, nur Berechnungen einer Sicherheitszone auf einem physischen Kern beziehungsweise den dazugehörigen virtuellen Kernen auszuführen. Hierfür müsste allerdings der Scheduler, der für die Verteilung der Rechenoperationen zuständig ist, massiv umgebaut werden. Das sei zu kompliziert und zu aufwändig. Aufgrund des hohen Angriffsrisikos haben die Entwickler den Hard-Cut gewählt: Intels Hyper-Threading wird in OpenBSD standardmäßig deaktiviert. Die Performance werde hierdurch nicht pauschal eingeschränkt, da die durch Hyper-Threading erreichte Steigerung stark am Workload hänge und bei mehr als zwei echten Prozessorkernen sogar mit einem negativen Performance-Effekt zu rechnen sei, schränkt OpenBSD ein. Nutzer haben aber weiter die Kontrolle über die Hyper-Threading-Technik und können sie aktivieren. Dies sei notwendig, da in vielen Bios-Implementierungen keine Einstellungsmöglichkeiten zu Intels Hyper-Threading mehr vorhanden seien.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Die Neuerungen sind bereits im Entwicklungszweig der kommenden OpenBSD Version 6.4 enthalten. Anfang April erschien OpenBSD 6.3, welches einige Sicherheitspatches für die Meltdown- und Spectre Angriffe enthielt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 12,75€
  3. 13,99€
  4. 41,99€

chewbacca0815 22. Jun 2018

Hier geht's aber nicht um Linux, sondern um OpenBSD aka Unix. Performance war aber noch...


Folgen Sie uns
       


Die Tesla-Baustelle von oben (Januar-November 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (Januar-November 2020) Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /