Abo
  • Services:

STIBP: Linux-Kernel-Entwickler mögen Spectre-v2-Schutz nicht

Der Schutz gegen Spectre-v2-Angriffe über Hyperthread-Grenzen hinweg ist für die kommende Linux-Version vorgesehen, kostet aber so viel Leistung, dass diese nicht standardmäßig umgesetzt werden soll. Auch Intel und AMD empfehlen diese Nichtnutzung des STIBP-Schutzes.

Artikel veröffentlicht am ,
Die Kernel-Entwickler nehmen noch Änderungen an der Verwendung von STIBP vor.
Die Kernel-Entwickler nehmen noch Änderungen an der Verwendung von STIBP vor. (Bild: Brian Gratwicke/Flickr.com/CC-BY 2.0)

Für die kommende Version 4.20 des Linux-Kernels hat der Suse-Entwickler Jiří Kosina unter anderem Unterstützung für den Single Thread Indirect Branch Predictor (STIBP) hinzugefügt, der vor Angriffen über Sprectre-v2 schützt. Genau genommen schützt die Verwendung des STIBP vor jenen Angriffen, die versuchen, Daten aus einem anderen Hyperthread der CPU auszulesen. Der diskutierte Schutz kostet aber so viel Leistung, dass Linus Torvalds auf der Mailing-Liste fragt, ob der Patch deshalb einfach zurückgenommen werden sollte. Dazu wird es wohl zwar nicht kommen, doch der Patch soll massiv verändert werden.

Stellenmarkt
  1. Pfennigparade SIGMETA GmbH, München
  2. Harting Electric GmbH & Co. KG, Espelkamp

Torvalds selbst schlägt vor, bei der Verwendung von STIBP ähnlich vorzugehen wie bei dem Schutz gegen Foreshadow/L1TF, also die Nutzer nur zu warnen und selbst entscheiden zu lassen, ob sie den Schutz trotz der teils massiven Leistungseinbußen benutzen möchten. Es ist derzeit wahrscheinlich, dass solch ein Verhalten umgesetzt wird. Darüber hinaus werden die STIBP-Patches zurzeit noch deutlich erweitert.

Die Kernel-Entwickler diskutieren dazu, inwiefern Anwendungen, die möglicherweise besonders anfällig für die fraglichen Angriffen sind, den Schutz eigenständig aktivieren können. Genutzt werden soll hierzu der Systemaufruf prctl, mit dem dann zusätzlich noch Seccomp-Filter für die Anwendungen umgesetzt werden könnten.

Hersteller wollen kein STIBP

Interessant an den Patches zu STIBP ist, dass die Leistungseinbußen eigentlich erwartet werden konnten. So empfahl etwa AMD bereits im April, diese Methode nicht zu verwenden. In der Diskussion der Kernel-Entwickler meldet sich ebenso ein Intel-Angestellter zu Wort, der dies auch für die Chips von Intel unterstützt und schreibt, dass STIBP nicht standardmäßig aktiviert sein darf. Eine "chirurgische" Verwendung dagegen sei in Ordnung.

Im Gegensatz zu derartigen Diskussionen hat das auf Sicherheit fokussierte Betriebssystem OpenBSD das Hyperthreading deaktiviert, um vor derartigen Fehlern zu schützen - die deutlichen Leistungseinbußen werden hier für einen besseren Schutz in Kauf genommen.



Anzeige
Spiele-Angebote
  1. 19,99€
  2. 45,99€ Release 04.12.
  3. 2,99€
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)

Folgen Sie uns
       


Die ersten 15 Minuten von Red Dead Online - Gameplay

Der Einstieg in Red Dead Online fühlt sich wie ein Abstieg an, zumindest für die, die in der Solokampagne von Red Dead Redemption 2 bereits weit gespielt haben.

Die ersten 15 Minuten von Red Dead Online - Gameplay Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
    3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

    Machine Learning: Wie Technik jede Stimme stehlen kann
    Machine Learning
    Wie Technik jede Stimme stehlen kann

    Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
    Ein Bericht von Felix Lill

    1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
    2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
    3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

      •  /