A Systematic Evaluation of Transient Execution Attacks and Defenses (对暂态执行的攻击和防御的系统评估)(第五节)

最新推荐文章于 2021-10-03 08:33:21 发布
最新推荐文章于 2021-10-03 08:33:21 发布
阅读量649 收藏 5
点赞数 1
分类专栏: computer architecture 文章标签: spectre meltdown
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuiliusheng/article/details/84996032
版权

A Systematic Evaluation of Transient Execution Attacks and Defenses (对暂态执行的攻击和防御的系统评估)(第五节)

  1. 针对幽灵和熔断的防御措施
    • 针对幽灵的防御措施
      • 减轻或降低用于提取秘密数据的隐蔽信道的准确性
      • 如果数据在暂态执行过程中会被访问,则减少或者终止推测执行
      • 确保隐私数据不会被接触到
    • 针对熔断的防御措施
      • 确保在体系结构上不可访问的数据在微观体系结构级别上仍然不可访问
      • 防止fault的发生
  2. (幽灵)减轻或降低用于提取秘密数据的隐蔽信道的准确性
    • (硬件)SafeSpec:暂态执行时使用影子硬件结构保存所有执行过程中的信息,当发现推测错误时将所有微架构状态压缩。原型中只包括了cache和tlb,其它信道仍然可用
    • (硬件)InvisiSpec:保证暂态执行过程中的load不会在cache中可见。增加推测缓冲区,所有暂态执行中的load都加载到该缓存区中。如果预测错误,缓冲区无效;如果正确将缓冲区的内容加载到实际cache中(会涉及存储一致性的问题,如果发现buffer中load的数据和cache中最新的数据不一致,此时需要重新做)
    • (硬件)DWAG是一种cache的安全分区的方法,通过引入在缓存命中,丢失和元数据级别的隔离保护域,基于cache的隐蔽信道能够得到缓解。(更改缓存,适应cache的一致性协议,在软件上正确的管理保护域)
    • (硬件)Kocher提出通过改变污染跟踪来限制数据进入隐蔽信道。主要思想:跟踪在暂态执行期间load的数据,并且防止在可能泄露数据的后续操作中使用这些数据
    • (软件)隐蔽信道攻击大多需要一个精确的定时器来区分微架构状态,例如cache hit/miss。因此可以通过使得定时器的精度降低以减少泄露的信息。(有论文提出定时器可以利用许多种不同的方式构建出来)
    • (软件)针对于NetSpectre攻击,有论文体出使用DDos检测机制来减轻攻击,此时攻击者必须发送数千个相同的数据包。另一种方式是在网络延迟中加入人工噪声
  3. (幽灵)如果数据在暂态执行过程中会被访问,则减少或者终止推测执行
    • (软件)增加FENCE指令。第一种是在分支的两个目的指令之前加入IFENCE之类的串行指令,但是严重降低性能。改进:使用静态分析来最小化引入的FENCE指令的个数。FENCE指令也可以减少间接分支指令所带来的影响。通过在分支之前增加FENCE指令,加快分支指令的解决时间。问题:虽然增加FENCE指令停止了推测式执行,但是推测式的code fetches和一些其它微架构行为(执行之前的)
    • (软件)有论文提出软件开发者可以指示某些分支将会泄露敏感数据,此时处理器不应该预测分支结果,而进行推测执行
    • (软件)“You Shall Not Bypass"方法利用处理器的一种检查指令之间的数据相关的机制,并且对分支指令的比较参数引入这种依赖关系,只有当分支的参数都是寄存器或者L1 cache时(很快可以获取到)时才会启动load,此时推测执行的窗口将会非常小,以致于无法利用
    • (软件)Google提出了一种repoline的方法,使用返回指令替代间接分支指令,从而防止分支带来的问题**(不太懂)**
    • (软件)SSBD:store buffer bypass disable。阻止处理器推测的检查store buffer。类似的还有SSBS (speculative store bypass safe),arm提出的用于阻止loads和stores的乱序
    • (软件)为了防止RSB填充不足和之后的回退到BTB,intel提出对RSB进行填充。每当上下文切换到kernel时,RSB将会被用一个良性的小工具的地址填充,该工具的功能类似于retpoline
    • (硬件)为了防止分支的误训练(mistraining),intel和AMD扩展了ISA以控制间接分支(包括条件分支)指令
      • IBRS(间接分支指令限制推测)阻止当前级别的间接分支的执行不会收到更低级别的影响
      • STIBP(单线程间接分支预测器)保证在执行过程中,分支预测器不会被共享
      • IBPB(间接分支预测器栅栏)通过刷新BTB,防止在栅栏之前执行的代码影响之后的分支预测
    • (硬件)ARM在v8.5-A指令集中,引入了新的栅栏指令限制之后的指令的推测执行。同时新的控制寄存器允许限制推测执行,新的预测控制指令可以阻止控制流预测、数据值预测或者缓存预取预测
    • (硬件)SLoth方法用于限制store-to-load之间的前递,包括三个微架构防御措施。
      • SLoth Bear通过微代码更新,阻止从暂态执行的Store传递数据或者传递到暂态执行中的load
      • SLoth 利用编译器将指令标记为前递的候选指令
      • Arctic SLoth 动态检查load和store对,以确定转发的候选项
  4. (幽灵)确保隐私数据不会被接触到
    • Google提出了网站隔离。网站隔离在自己的进程中执行每个网站,因此限制了暴露域侧信道攻击的数据量,因为只能够从自己的进程中读取数据
    • Kiriansky提出了使用保护键值的方式限制访问敏感数据,该方式类似于intel的MPK技术。为了防止攻击者会先修改key值,需要在会更改key值的指令之前增加FENCE指令
  5. (熔断)确保在体系结构上不可访问的数据在微观体系结构级别上仍然不可访问
  • 确保在发生错误时,执行不会继续或执行不会访问不可访问的数据
  • Gruss提的KAISER虽然不是为了解决熔断,但是它通过防止内核敏感数据映射到用户空间,从而抵挡meltdown-US攻击。
  1. (熔断)防止fault的发生
    • SGX中在从外部访问enclav内存储时,会返回-1而不产生fault,从而避免了Meltdown-US的攻击,但是确防止布料meltdown-P的攻击
    • 针对于FPU的meltdown-NM攻击,选择在切换上下文时,立即保存FPU的状态,从而能够避免攻击
  2. 防御手段的评估
    在这里插入图片描述
shuiliusheng
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
A Systematic Evaluation of Transient Execution Attacks and Defenses (对执行攻击防御系统评估)(前四)
shuiliusheng的专栏
12-12 1412
A Systematic Evaluation of Transient Execution Attacks and Defenses (对执行攻击防御系统评估)(前四) 摘要: 异常或者分支错误预测事件可能会在CPU的微体系状中留下依赖于私有数据的足迹。通过这种观察,导致了新幽灵和熔断攻击变种的扩散。 业界和学术界的问题在于:虽然在寻找有效的防御上,但是这些防御主要是针对于一...
linux meltdown 性能,Spectre缓解降低了Linux 4.20的性能
weixin_33680141的博客
05-14 189
英特尔对Specter Variant 2芯片缺陷(CVE- 2017-5715)的一个修复似乎已经对最新Linux内核的性能造成了很大影响。有问题的缓解是单线程间接分支预测器(STIBP),这是英特尔在1月份公布Meltdown和Spectre漏洞细后不久提出的三个预测因子之一。在Linux 4.20中正式实施,Phoronix运行的基准测试表明,使用英特尔专有的超线程技术(主要是Core i...
针对间接分支的比特级感知预测器BLBP “Bit-level Perceptron Prediction for Indirect Branches”(2019 ISCA)
qq_40379102的博客
08-12 1191
间接分支预测器:ITTAGE[3]、基于VPC的分支预测器、call/return 堆栈预测过程返回目标地址[2]。 背景:面向对象编程中存在许多间接分支指令。多性(polymorphism)使用通过间接分支实现的动分派函数调用来支持动子类型,间接分支在虚函数调用中是必要的。大约28%的分支误预测是来自间接分支[1]。 除了虚函数调用, 间接分支在switch-case语句、跳转表、函数指针调用、过程返回和接口调用中也广泛使用。其本质上比条件分支(conditional branch)更难预.
systematic compilation of
10-29
A survey of published scientific literature was undertaken to identify and catalog observed earthquake precursors.The earthquake precursors selected for analysis included electric and magnetic fields, gas emissions,groundwater level changes, temperature changes, surface deformations, and seismicity. For each of theseprecursors, the published scientific literature was searched to document the statistics of each reported earthquakeprecursor (spatial extent, time, duration, amplitude, signal/noise ratio), to analyze dependence of theobservable for each precursor on earthquake magnitude, and to explore proposed physical models to explaineach earthquake precursor. Some general characteristics were observed for these precursory phenomena. First,the largest amplitude precursory anomalies tend to occur before the largest magnitude earthquakes. Also, thenumber of precursory anomalies tends to increase the closer in time to the occurrence of the earthquake.Finally, the precursory anomalies tend to occur close to the eventual epicenter of the earthquake. In general, thephysical models indicate that all of the precursory phenomena are related to deformation that occurs near thefault prior to the main earthquake. While the models provide plausible physical explanations for the precursors,there are many free parameters in the models that are poorly resolved.
Linux内核性能限制,Linus Torvalds:Linux 4.20内核性能明显下降后,Spectre v2补丁需要限制...
weixin_35298139的博客
04-30 460
在某些Linux工作负载中,Spectre v2补丁导致Linux 4.20内核性能下降50%。正如Linux新闻网站Phoronix所指出的那样,Linux 4.20 的表现比最新稳定版 4.19 有明显的下降,是由新实施的缓解措施引起的,称为单线程间接分支预测器(STIBP),默认情况下在Linux 4.20内核中用于具有最新微码的Intel系统。STIBP是英特尔针对Specter v2攻击...
A systematic evaluation of Glasser's techniques
06-29
A systematic evaluation of Glasser's techniques Activity Context 385 TREMBLAY, A., STRAIN, P. S., HENDRICKSON, J. M., & SHORES, R. E. Social interactions of normally developing preschool children...
迈向语言隐写术:方法,系统和问题的系统研究Towards Linguistic Steganography: A Systematic Investigation of Approaches, Systems, and Issues
10-28
从语言的角度来看,设计和构建的隐写文字比迄今为止构建的任何系统都更加充分,安全和可靠。
Systematic analysis of clinically applicable conditions leading to a high efficiency of transduction and transgene expression in human T cells
06-29
Systematic analysis of clinically applicable conditions leading to a high efficiency of transduction and transgene expression in human T cells RESEARCH ARTICLE Systematic analysis of clinically ...
The Reactivity of Potassium Polyfluoroaryl-, Polyfluoroalkenyl-, and Perfluoroalkyltrifluoroborates and their Hydrocarbon Analogues towards Acids of Different Strength: A Systematic Study of the Hydrodeboration
06-29
The Reactivity of Potassium Polyfluoroaryl-, Polyfluoroalkenyl-, and Perfluoroalkyltrifluoroborates and their Hydrocarbon Analogues towards Acids of Different Strength: A Systematic Study of the ...
CPU漏洞详解
宋宝华
10-03 5295
1. 导言性能测试对于 Linux 发行版来说至关重要,Alibaba Cloud Linux 2 也是如此。(Alibaba Cloud Linux 2 是阿里巴巴操作系统团队推出的一款...
《基于多支持向量机综合的电力系统稳定评估》总结
武大电气-Mr谭的博客
03-24 1180
目前,利用数据挖掘的方法进行稳定评估的研究,对结果中不稳定样本被误判为稳定样本的情况重视不足,不符合电网运行对安全性的要求。针对该问题,文中提出了安全域概念下基于多支持向量机综合的稳定评估方法。该方法首先利用网格法对支持向量机进行参数寻优,然后选取分类率较高的若干组支持向量机参数,在这些参数下训练支持向量机,最后对训练得到的支持向量机进行综合,实现电力系统稳定评估。对仿真系统的分析表明,文中提出的方法能够充分利用不同参数的支持向量机提供的有效信息,大量减少误判样本的个数,可以对应用数据挖掘理论进
weixin_33862514的博客
04-26 218
在很多情况下,您都希望状能够持续于整个请求期间,然后再完全自动删除。在这种情况中,特别是当控件处于独立的类时,您需要在页面间、甚至在页面处理的不同阶段的控件间传递数据。在这些情况下,需要找到一个在它们之间传递数据的合适方法,这个方法仅需延长处理当前页面请求的时间即可。 利用会话状并不是一个很好的解决方案,因为这样会为一个根本不需要延长会话时间的状念浪费服务器资源。即便可以在元素处理完中之后对...
现代处理器内核的分支预测逻辑
网络空间发展与战略研究
05-13 1521
在计算机体系结构中,分支预测器(Branch predictor)是一种数字电路,在分支指令执行结束之前猜测哪一路分支将会被运行,以提高处理器的指令流水线的性能。使用分支预测器的目的,在于改善指令管线化的流程,进而通过指令管线化提高处理器性能,分支预测器是现今指令流水线微处理器性能提升的关键技术之一。 01分支类型 按照是否条件执行以及是否直接寻址可以将分支分为下表中...
Ubuntu 18.04下Intel SGX的安装
qq_41800197的博客
03-17 4207
前提硬件条件(prerequisite) 1.首先要在BIOS设置中将SGX打开(CPU支持的情况下),每台电脑进入设置的方法不一样,可以百度电脑品牌+BIOS设置会有步骤 2.由于SGX Driver(驱动)需要在每次电脑开启的时候都要进行驱动的启动,所以要在BIOS设置中将安全启动关闭(关闭 secure boot) 按照Intel的教程按顺序进行安装就可以了 检查方法 检查sgx drive...
防御系统之正确评估安全威胁(转)
coral_1997的博客
08-08 162
防御系统之正确评估安全威胁[@more@]  正确评估安全威胁   当得知网络正在遭受利用漏洞的蠕虫的攻击时,网管员应该怎么办?是不必理睬还是立即测试并安装补丁?无论怎样,正确做出判断是及时阻断攻击的前提。      在企业网面...
我的电磁学讲义16:过程
weixin_30357231的博客
12-02 431
LR电路的过程 由电感和电阻组成的电路称为LR电路,如图1所示。 图1 LR电路 如图1,当开关拨向1时,电路中出现自感电动势, \begin{equation*} \mathcal{E}_L=-L\frac{\mathrm di}{\mathrm dt} \end{equation*} 根据欧姆定律,有 \begin{equation*} \mathcal{E}+\mathcal{E...
Arm A-profile feature names
Hacker
04-01 1298
自 2020 年 6 月开始,Arm A-profile 架构的 feature name 全部更改为标准的格式,都以 FEAT_ 前缀打头。从 feature name 上已经无法分辨是那个 archtecture 版本引入的功能了。 Old name New name Short description Comments ARMv8.0-AdvSIMD FEAT_AdvSIMD Advanced SIMD Extension ARMv8.0-AES .
InvisiSpec Making Speculative Execution Invisible in the Cache Hierarchy
shuiliusheng的专栏
12-21 629
InvisiSpec: Making Speculative Execution Invisible in the Cache Hierarchy 摘要: 推测式执行对微架构的任何状改变都可能会泄露信息 论文提出了InvisiSpec,通过在数据缓存的层级结构中使得推测执行不可见,从而抵御硬件的推测攻击。主要是阻断了利用数据缓存进行隐蔽信道或侧信道来传递推测式load泄露的数据 在inv...
"Risk Factors for Heart Disease and Heart Attack: A Systematic Review and Meta-Analysis" by Chen et al. (2019)的summary
最新发布
04-02
(2019) conducted a systematic review and meta-analysis to identify the risk factors for heart disease and heart attack. They analyzed 53 studies involving over 1.7 million participants to determine ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值