Abo
  • Services:

STIBP: Linux-Kernel-Entwickler mögen Spectre-v2-Schutz nicht

Der Schutz gegen Spectre-v2-Angriffe über Hyperthread-Grenzen hinweg ist für die kommende Linux-Version vorgesehen, kostet aber so viel Leistung, dass diese nicht standardmäßig umgesetzt werden soll. Auch Intel und AMD empfehlen diese Nichtnutzung des STIBP-Schutzes.

Artikel veröffentlicht am ,
Die Kernel-Entwickler nehmen noch Änderungen an der Verwendung von STIBP vor.
Die Kernel-Entwickler nehmen noch Änderungen an der Verwendung von STIBP vor. (Bild: Brian Gratwicke/Flickr.com/CC-BY 2.0)

Für die kommende Version 4.20 des Linux-Kernels hat der Suse-Entwickler Jiří Kosina unter anderem Unterstützung für den Single Thread Indirect Branch Predictor (STIBP) hinzugefügt, der vor Angriffen über Sprectre-v2 schützt. Genau genommen schützt die Verwendung des STIBP vor jenen Angriffen, die versuchen, Daten aus einem anderen Hyperthread der CPU auszulesen. Der diskutierte Schutz kostet aber so viel Leistung, dass Linus Torvalds auf der Mailing-Liste fragt, ob der Patch deshalb einfach zurückgenommen werden sollte. Dazu wird es wohl zwar nicht kommen, doch der Patch soll massiv verändert werden.

Stellenmarkt
  1. DAN Produkte GmbH, Raum Schleswig-Holstein, Niedersachen, Hamburg, Bremen (Home-Office)
  2. ADAC Ostwestfalen-Lippe e.V., Bielefeld

Torvalds selbst schlägt vor, bei der Verwendung von STIBP ähnlich vorzugehen wie bei dem Schutz gegen Foreshadow/L1TF, also die Nutzer nur zu warnen und selbst entscheiden zu lassen, ob sie den Schutz trotz der teils massiven Leistungseinbußen benutzen möchten. Es ist derzeit wahrscheinlich, dass solch ein Verhalten umgesetzt wird. Darüber hinaus werden die STIBP-Patches zurzeit noch deutlich erweitert.

Die Kernel-Entwickler diskutieren dazu, inwiefern Anwendungen, die möglicherweise besonders anfällig für die fraglichen Angriffen sind, den Schutz eigenständig aktivieren können. Genutzt werden soll hierzu der Systemaufruf prctl, mit dem dann zusätzlich noch Seccomp-Filter für die Anwendungen umgesetzt werden könnten.

Hersteller wollen kein STIBP

Interessant an den Patches zu STIBP ist, dass die Leistungseinbußen eigentlich erwartet werden konnten. So empfahl etwa AMD bereits im April, diese Methode nicht zu verwenden. In der Diskussion der Kernel-Entwickler meldet sich ebenso ein Intel-Angestellter zu Wort, der dies auch für die Chips von Intel unterstützt und schreibt, dass STIBP nicht standardmäßig aktiviert sein darf. Eine "chirurgische" Verwendung dagegen sei in Ordnung.

Im Gegensatz zu derartigen Diskussionen hat das auf Sicherheit fokussierte Betriebssystem OpenBSD das Hyperthreading deaktiviert, um vor derartigen Fehlern zu schützen - die deutlichen Leistungseinbußen werden hier für einen besseren Schutz in Kauf genommen.



Anzeige
Spiele-Angebote
  1. (-55%) 17,99€
  2. 4,99€
  3. (-15%) 12,74€
  4. 4,99€

Folgen Sie uns
       


Nintendo Gameboy - ein kurzer Rückblick

Tetris, Pokémon, Super Mario - wir fassen die Geschichte des Gameboy im Video zusammen.

Nintendo Gameboy - ein kurzer Rückblick Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Falcon Heavy: Beim zweiten Mal wird alles besser
    Falcon Heavy
    Beim zweiten Mal wird alles besser

    Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
    Von Frank Wunderlich-Pfeiffer und dpa

    1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
    2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
    3. Raumfahrt SpaceX - Die Rückkehr des Drachen

    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet

      •  /