OpenBSD tắt tính năng siêu phân luồng của chip Intel để ngăn chặn các cuộc tấn công spectre
Hệ điều hành mở OpenBDS đã ngừng hỗ trợ tính năng siêu phân luồng của chip Intel do lo ngại ảnh hưởng từ kiểu tấn công Spectre. Tính năng siêu phân luồng được giới thiệu từ năm 2002 ứng dụng của công nghệ Đa phân luồng đồng thời(SMT) đồng thời cho phép hệ điều hành sử dụng các lõi ảo trên ...
Hệ điều hành mở OpenBDS đã ngừng hỗ trợ tính năng siêu phân luồng của chip Intel do lo ngại ảnh hưởng từ kiểu tấn công Spectre.
Tính năng siêu phân luồng được giới thiệu từ năm 2002 ứng dụng của công nghệ Đa phân luồng đồng thời(SMT) đồng thời cho phép hệ điều hành sử dụng các lõi ảo trên mỗi lõi vật lý của CPU để tăng hiệu năng.
“SMT thực hiện phân luồng dữ liệu bằng cách chia sẻ bộ nhớ đệm TLB và L1 giữa các luồng khác nhau. Điều này lại vô hình chung khiến việc theo dõi hoạt động của cache trên miền thời gian sẽ để lộ nhiều thông tin hơn, và chúng tôi đặc biệt nghi ngờ rằng với cách thức xử lý này sẽ dẫn tới có nhiều hơn nữa các lỗ hổng kiểu spectre có thể giúp hacker khai thác vào mục đích xấu.”
Trong mật mã học, tấn công trên miền thời gian cho phép tin tặc chiếm quyền điều khiển hệ thống bằng cách phân tích thời gian để thực hiện các thuật toán mã hoá. Bằng cách đo lượng thời gian cần dùng cho mỗi tác vụ, kẻ tấn công có thể từ đó tính toán được các giá trị input để đọc được thông tin mật. Ví dụ điển hình cho tấn công kiểu này là lỗ hổng Meltdown và Spectre được phát hiện đầu năm nay.
Vì vậy, để giúp người dùng hệ điều hành OpenBSD tránh khỏi các cuộc tấn công miền thời gian như vừa nêu, dự án OpenBSD đã mặc định tắt tính năng siêu phân luồng trên các chip Intel như một cách để tăng cường bảo mật hệ thống.
Tắt tính năng siêu phân luồng có làm giảm hiệu năng?
Chắc hẳn bạn cho rằng loại bỏ tính năng tối ưu hoá này có thể ảnh hưởng tiêu cực tới hiệu năng của hệ thống điều hành, nhưng OpenBSD không cho là vậy.
Kettenis tin rằng việc tắt SMT sẽ không gây ra ảnh hưởng xấu đến hiệu năng hệ thống và nếu bật nó lên thì rất có khả năng sẽ làm chậm hầu hết các tải tính toán trên CPU chứa nhiều hơn 2 lõi vật lý.
Kettenis cũng nhấn mạnh rằng trong tương lai OpenBSD sẽ mặc định tắt tính năng SMT tích hợp cho các CPU từ các vendor khác như AMD.
Theo Kettenis, “Tốt nhất là chúng ta không nên chạy các domain bảo mật khác nhau trên các luồng xử lý khác nhau thuộc cùng một lõi.”
OpenBSD đưa ra cài đặt mới thông qua “hw.smt sysctl” để mặc định tắt hỗ trợ SMT; nếu muốn sử dụng tính năng đa phân luồng đồng thời thì người dùng có thể bật bằng tay.
Tuy nhiên tính năng này chỉ có ở các CPU Intel chạy hệ điều hành OPenBSD/amd64 trong thời điểm hiện tại và sẽ sớm được mở rộng tới các nhà sản xuất chip và kiến trúc phần cứng khác.
THN
