Intel erklärt Hardware-Schutz gegen Spectre- & Meltdown-Lücken
Kommende "Cascade Lake"-Xeons sind gegen Meltdown-Attacken unempfindlich und auch gegen viele Spectre-Attacken – aber Software-Patches bleiben nötig.
Intel hatte versprochen, noch 2018 neue Prozessoren mit Hardware-Schutz gegen die Sicherheitslücken Spectre und Meltdown auszuliefern. Eine dieser neuen CPU-Familien bilden die Serverprozessoren Cascade Lake-SP, die für Ende des Jahres 2018 versprochen sind.
Auf der Hot Chips 2018 (HC30) hat Intel nun genauer erklärt, gegen welche Lücken die neuen Chips geschützt sein werden. Es ist zu hoffen, dass Intel diese Schutzfunktionen auch anderen kommenden Prozessoren angedeihen lässt, etwa dem erwarteten LGA1151v2-Achtkerner Core i-9000 und den Whiskey-Lake-Chips für Notebooks.
Schutzfunktionen bei Xeon Cascade Lake gegen Spectre(-NG) und Meltdown | ||
Lücke | Name der Lücke | Mitigation on CascadeLake |
Spectre V1 | Bounds Check Bypass | Betriebssystem / Hypervisor |
Spectre V2 | Branch Target Injection (BTI) | Hardware + Betriebssystem / Hypervisor |
Meltdown (V3) | Rogue Data Cache Load | Hardware |
Spectre V3a | Rogue System Register Read | Firmware |
Spectre V4 | Speculative Store Bypass | Firmware + Betriebssystem / Hypervisor oder Software |
Spectre-NG | L1 Terminal Faul (L1TF) | Hardware |
Die Tabelle zeigt: Reinen Hardware-Schutz gibt es nur gegen Meltdown und den kürzlich entdeckten L1 Terminal Fault (L1TF). Gegen Spectre V2 (BTI) müssen Hardware-Funktionen mit Betriebssystem-Patches kooperieren – beziehungsweise mit Patches im Hypervisor, der virtuelle Maschinen verwaltet. Gegen Spectre V1 wird es keinen Hardware-Schutz geben und in anderen Fällen sollen Firmware-Patches helfen.
Die Hardware-Schutzfunktionen sollen generell bessere Performance bringen als die bisherigen Patches, etwa durch Microcode-Updates. Für den Schutz gegen L1TF hat Intel mittlerweile Performance-Einbußen bei einigen Server-Benchmarks beziffert: Sie sind im Wesentlichen dann relevant, wenn man bei Cloud-Servern mit vielen VMs Hyper-Threading abschaltet. Das ist aber nur dann nötig, wenn man Angriffe aus bösartigen VMs befürchtet.
Auf der Hot Chips wurde breit über Spectre und Meltdown diskutiert, nicht nur in Bezug auf Intel-Chips.
Cascade-Lake-Neuerungen
Intel stellte auf der Hot Chips nicht nur die neuen Schutzmaßnahmen bei Cascade Lake-SP vor, sondern fasste auch dessen sonstigen Neuerungen zusammen. Letztlich waren aber schon alle Details bekannt: Es bleibt bei maximal 28 Kernen, genau wie beim aktuellen Xeon Scalable Processor (SP) mit Skylake-SP-Innenleben.
Auch in Bezug auf PCI Express bleibt alles beim alten, sprich bei PCIe 3.0. Mancher hoffte, dass Intel wenigstens einige PCIe-4.0-Lanes einbaut.
Neu – aber bereits bekannt – sind vor allem Optane DC Persistent Memory und verbesserte KI-Befehle VNNI.
Xeon-Roadmap
Anlässlich des Data-Centric Innovation Summit hatte Intel auch geklärt, dass 2019 der Cascade-Lake-SP-Nachfolger Cooper Lake weiterhin mit 14-Nanometer-Technik kommen wird.
Er bringt wohl eine neue Plattform, denn es soll dieselbe sein, die dann der für 2020 avisierte Ice Lake nutzen wird, den Intel mit 10-nm-Strukturen fabrizieren will. Laut Informationen aus anderen Quellen werden Cooper Lake und Ice Lake in die Fassung LGA4189 passen, die unter anderem acht RAM-Kanäle ermöglicht. (ciw)