Intel erklärt Hardware-Schutz gegen Spectre- & Meltdown-Lücken

Intel hatte versprochen, noch 2018 neue Prozessoren mit Hardware-Schutz gegen die Sicherheitslücken Spectre und Meltdown auszuliefern. Eine dieser neuen CPU-Familien bilden die Serverprozessoren Cascade Lake-SP, die für Ende des Jahres 2018 versprochen sind.

Auf der Hot Chips 2018 (HC30) hat Intel nun genauer erklärt, gegen welche Lücken die neuen Chips geschützt sein werden. Es ist zu hoffen, dass Intel diese Schutzfunktionen auch anderen kommenden Prozessoren angedeihen lässt, etwa dem erwarteten LGA1151v2-Achtkerner Core i-9000 und den Whiskey-Lake-Chips für Notebooks.

Schutzfunktionen bei Xeon Cascade Lake gegen Spectre(-NG) und Meltdown
Lücke	Name der Lücke	Mitigation on CascadeLake
Spectre V1	Bounds Check Bypass	Betriebssystem / Hypervisor
Spectre V2	Branch Target Injection (BTI)	Hardware + Betriebssystem / Hypervisor
Meltdown (V3)	Rogue Data Cache Load	Hardware
Spectre V3a	Rogue System Register Read	Firmware
Spectre V4	Speculative Store Bypass	Firmware + Betriebssystem / Hypervisor oder Software
Spectre-NG	L1 Terminal Faul (L1TF)	Hardware

Die Tabelle zeigt: Reinen Hardware-Schutz gibt es nur gegen Meltdown und den kürzlich entdeckten L1 Terminal Fault (L1TF). Gegen Spectre V2 (BTI) müssen Hardware-Funktionen mit Betriebssystem-Patches kooperieren – beziehungsweise mit Patches im Hypervisor, der virtuelle Maschinen verwaltet. Gegen Spectre V1 wird es keinen Hardware-Schutz geben und in anderen Fällen sollen Firmware-Patches helfen.

Die Hardware-Schutzfunktionen sollen generell bessere Performance bringen als die bisherigen Patches, etwa durch Microcode-Updates. Für den Schutz gegen L1TF hat Intel mittlerweile Performance-Einbußen bei einigen Server-Benchmarks beziffert: Sie sind im Wesentlichen dann relevant, wenn man bei Cloud-Servern mit vielen VMs Hyper-Threading abschaltet. Das ist aber nur dann nötig, wenn man Angriffe aus bösartigen VMs befürchtet.

Auf der Hot Chips wurde breit über Spectre und Meltdown diskutiert, nicht nur in Bezug auf Intel-Chips.

CPU-Sicherheitslücken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

• Super-GAU für Intel: Weitere Spectre-Lücken im Anflug
• Exclusive: Spectre-NG - Multiple new Intel CPU flaws revealed, several serious
• Spectre-NG: Updates und Info-Links
• Kommentar: Hallo Intel, mein Vertrauen schwindet!

Cascade-Lake-Neuerungen

Intel stellte auf der Hot Chips nicht nur die neuen Schutzmaßnahmen bei Cascade Lake-SP vor, sondern fasste auch dessen sonstigen Neuerungen zusammen. Letztlich waren aber schon alle Details bekannt: Es bleibt bei maximal 28 Kernen, genau wie beim aktuellen Xeon Scalable Processor (SP) mit Skylake-SP-Innenleben.

Auch in Bezug auf PCI Express bleibt alles beim alten, sprich bei PCIe 3.0. Mancher hoffte, dass Intel wenigstens einige PCIe-4.0-Lanes einbaut.

Neu – aber bereits bekannt – sind vor allem Optane DC Persistent Memory und verbesserte KI-Befehle VNNI.

Xeon-Roadmap

Anlässlich des Data-Centric Innovation Summit hatte Intel auch geklärt, dass 2019 der Cascade-Lake-SP-Nachfolger Cooper Lake weiterhin mit 14-Nanometer-Technik kommen wird.

Er bringt wohl eine neue Plattform, denn es soll dieselbe sein, die dann der für 2020 avisierte Ice Lake nutzen wird, den Intel mit 10-nm-Strukturen fabrizieren will. Laut Informationen aus anderen Quellen werden Cooper Lake und Ice Lake in die Fassung LGA4189 passen, die unter anderem acht RAM-Kanäle ermöglicht. (ciw)