Linux 4.20 为修复Specture,却损失50%CPU性能!
为了你的PC安全,你愿意付出多大程度努力?
大多数有安全意识的人都明白,降低风险这件事会涉及到某种权衡。比如,为了降低风险,可能需要牺牲你的便利、花费更多的钱、甚至损害你的系统性能。
然而,很多Linux用户还没有为Spectre v2(Spectre variant 2 :Spectre变种2)漏洞修补程序做好准备。Spectre v2中的一个漏洞补丁可降低英特尔处理器,高达50%的性能,是今年内所有安装Spectre/Meltdown 修补程式中效能跌幅最大的一次。
Spectre(幽灵)是一个影响执行分支预测的现代微处理器的漏洞。在大多数处理器上,由分支错误预测导致的推测性执行可能会留下可观察到的副作用,这些副作用可能会向攻击者泄露私人数据。在2018年3月15日,英特尔报告它将重新设计其CPU(性能损失有待确定),以帮助防范Spectre和相关的Meltdown漏洞(特别是Spectre v2和Meltdown)。
科技网站Phoronix 的测试发现,在几乎所有低中高端英特尔处理器上,最新测试版内核 Linux 4.20 的表现比最新稳定版 4.19 有显著的下降,而 AMD 的处理器不受影响。
有问题的补丁是在Linux 4.20内核中发布的。Linux 4.20 更新将支持多线程处理器,并默认启用STIBP( Single Thread Indirect Branch Predictors:单线程间接分支预测器)缓解功能。
这可以防止基于Spectre v2漏洞的攻击,但在这些CPU更新时,也会影响启用了启用了Hyper-Threading 超线程的Intel 处理器的性能。
补充:STIBP只是英特尔添加的三个Spectre v2缓解中的一个,其中还包括间接分支限制性推测(IBRS)和间接分支预测器屏障(IBPB)。
针对此事,Linux创建者Linus Torvalds表示非常惊讶,他表示自己在讨论列表中居然没有看到任何关于会影响性能的字眼。
他补充称,当某些载荷的性能下降50%时,人们需要开始问自己是否值得使用缓解措施。Torvalds还表示,那些真正关心安全的人会完全禁用SMT。
这意味着最新Linux内核默认启用缓解功能,会损失高达50%的性能。但大多数人的电脑却并没有因此而降低风险,或得到任何好处。
因此,Torvalds决定为下一版Linux for Intel系统提出了解决方案:“我认为我们应该使用与L1TF相同的逻辑:我们默认那些不会扼杀性能的东西。”或许可以吸引大多数用户。
英特尔研究员Arjan van de Ven在一份回复中表示,“在文档中,AMD正式默认建议不要这样做,而且我可以代表英特尔说我们的立场也是这样:默认情况下一定不能开启。”
参考来源:
tomshardware
oschina
- End -
往期热门资讯:
公众号ID:ikanxue官方微博:看雪安全
商务合作:wsc@kanxue.com