Abo
  • Services:

Spectre und Meltdown: All unsere moderne Technik ist kaputt

Man kann sich auf Hardware nicht mehr verlassen - Spectre und Meltdown zeigen das überdeutlich. Bevor neue Grundlagentechniken wie spekulative Befehlsausführung massenhaft eingeführt werden, müssen sie ab jetzt anders getestet werden.

Ein IMHO von Nico Ernst veröffentlicht am
Nicht nur Intel-Prozessoren haben eine gefährliche Sicherheitslücke.
Nicht nur Intel-Prozessoren haben eine gefährliche Sicherheitslücke. (Bild: TOSHIFUMI KITAMURA/AFP/Getty Images)

Die Entwicklung von Prozessoren ist die Alchemie der IT-Landschaft: Da arbeiten im selben Unternehmen konkurrierende Teams jahrelang unter höchster Geheimhaltung gegeneinander, und wer mehr Leistung pro Takt und Dollar erreicht, gewinnt. Dann folgt ein irrwitziger Marketingaufwand, um der Kundschaft die neue Errungenschaft schmackhaft zu machen. Und bis vor einigen Jahren wurden Journalisten die Innereien der Technik auch einigermaßen detailliert erklärt. Inzwischen halten sich die Hersteller da wieder bedeckter.

Inhalt:
  1. Spectre und Meltdown: All unsere moderne Technik ist kaputt
  2. Die Geheimniskrämerei muss enden

Diese frühere Offenheit war bedingt durch Intels bisher größten Flop, den Pentium-FDIV-Bug. Im Vergleich zu Meltdown und Spectre, die auch - aber nicht nur - Intel-Prozessoren betreffen, war dieser Fehler jedoch ein Klacks: Klar, die Prozessoren verrechneten sich. Sie taten also, was sie sollten, aber mit reproduzierbar falschen Ergebnissen. Das kann bei sicherheitsrelevanten Anwendungen wie etwa der statischen Berechnung einer Brücke fatale Folgen haben. Aber immerhin ließen sich die Ergebnisse auf anderen Systemen falsifizieren, der Bug war also offensichtlich. Seitdem dokumentiert insbesondere Intel seine Fehler, Errata genannt, zumindest während der Herstellungszeit eines Produkts für Entwickler umfangreich.

Meltdown und Spectre zerstören die Vertrauenskette

Meltdown und Spectre sind jedoch anders. Sie brechen mit dem, worauf man sich bei der Entwicklung jeder Security einfach verlassen musste, nämlich darauf, dass einzig und allein das Betriebssystem und andere im Ring 0 einer CPU laufende Software Zugriff auf unverschlüsselte und sensible Daten haben dürfen. Wenn etwa ein Passwort oder ein Krypto-Key abhandenkam, musste man den Fehler an anderer Stelle suchen. Dass innerhalb des Systems Prozessor+Betriebssystem+Treiber etwas schieflief, war eher die Ausnahme. Und dann waren umfangreiche Reparaturarbeiten gefragt. Der Anfang jeder Vertrauenskette war stets: Die CPU und das OS machen per se nichts unsicher.

Das ist nun aber nicht mehr so, denn jegliche sensible Daten lassen sich über Seitenkanalattacken aus dem bisher unknackbaren System ausschleusen. Der Hardware ist also nicht mehr zu trauen. Das hat nicht mit eigentlichen Bugs oder gar Backdoors zu tun. Was die Sicherheitsforscher da zutage fördern, ist technisch schon sehr ausgefuchst und nicht trivial umzusetzen. Immerhin haben die ersten Patches für Betriebssysteme über ein halbes Jahr gebraucht, und eine Lösung auf Hardwareeebene, etwa durch Microcode-Updates, ist noch nicht in Sicht. Ob es die überhaupt geben kann, ist derzeit fraglich.

Stellenmarkt
  1. freenet GROUP, Hamburg
  2. Fresenius Netcare GmbH, Bad Homburg

Die Geheimniskrämerei muss enden 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 38,90€ + Versand (Bestpreis!)
  2. (u. a. Sharkoon Skiller SGK4 für 19,99€ + Versand und Sharkoon SilentStorm Icewind Black 750 W...

Bachsau 21. Jan 2018

1ras 19. Jan 2018

Du wirst ja selbst Google gut genug bedienen können um zu erkennen, dass es hierzu auch...

CoDEmanX 19. Jan 2018

Die Sicherheitsforscher haben gravierend Lücken gefunden und unter Ausschluss der...

bentol 08. Jan 2018

Super erklärt, danke!

tunnelblick 08. Jan 2018

ja. womit wir wieder beim anfangsproblem wären. was soll denn da konkret kommen? es will...


Folgen Sie uns
       


Probefahrt mit dem Audi E-Tron - Bericht

Golem.de hat den neuen Audi E-Tron auf einem Ausflug in die Wüste von Abu Dhabi getestet.

Probefahrt mit dem Audi E-Tron - Bericht Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

    •  /