MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される 48
ストーリー by hylom
朗報となるか 部門より
朗報となるか 部門より
今年1月に発見されたCPUの脆弱性「Meltdown」や「Spectre」では、対策を行うとCPUの演算性能が低下することが知られている(過去記事)。これに対し、米マサチューセッツ工科大学が演算性能の低下無しに脆弱性対策を行う手法を開発したという(PC Watch、TechCrunch)。
この手法はプログラムが別のプログラムによって使用されているキャッシュにアクセスすることを防ぐためにキャッシュメモリの割り当てを制御するもので、OS側の最小限の修正で実現でき、実装が容易で性能の低下もないという。
来年には (スコア:5, 興味深い)
次々期のWindows 10 19H1で
Googleが行った対策のRetpolineを
Windowsでも実装するという話が丁度出てる
https://japan.cnet.com/article/35127338/ [cnet.com]
この方式も将来的に取り込まれる可能性があると考えれば悪い話ではない
マイクロコードに頼らずOS側で対処出来ればそれに越した事は無いですし
“19H1”って何? 1704や1803とどう違うの? (スコア:1)
横から捕捉。これは「2019年半期(Hanki)1」、つまり1901-1906のどこになるか調整中だけど、1911にはならないってこと。
Re: (スコア:0)
HankiのHじゃないのでは?
と横からツッコんでみる
Re: (スコア:0)
調べたら
HalfのHのようですね
H1は1st Half Yearの略だとおもわれる
Re: (スコア:0)
Windows 10 19H1は次期大型アップデートの仮称
Windows 10は半年ごと(春・秋)に大型アップデートリリースしてるけど、
19H1は2019年の春の大型アップデートの予定。
実際のリリースバージョンはリリース直前になるまでわからない。
Re: (スコア:0)
これが採用されたとして(ある程度の脆弱性と引き換えに)パフォーマンスを元にもどすには
マイクロコードを古いものに書き換えないといけない気がするんですが
PCメーカーが対応してくれるかどうか
なんで誰も論文読んでないの (スコア:5, 参考になる)
DAWG: A Defense Against Cache Timing Attacks in Speculative Execution Processors [iacr.org]
ハードウェアの変更は必須で、OSの変更も(少ないながら)必要。
Re: (スコア:0)
つまり、ここで言う「脆弱性対策を行う手法」というのは、「メーカー(インテル)が今後出荷する製品の設計上の対策の手法」ということ?
Re:なんで誰も論文読んでないの (スコア:1, 参考になる)
いや、「ヤバいCPUでもマザボに手を入れれば対応可能」じゃない?
Re: (スコア:0)
「特定のチップを埋め込めば対応可能」に違いない。
# 今度はマザボがヤバい
Re: (スコア:0)
論文のリンクまで示されてるのに、なぜ読まずにあさってのコメント書くのかな。
Re: (スコア:0)
なんでこんなコメントが2もスコア付くんだ。Abstract読むだけでもCPUに実装するものだって分かるだろ。
Re: (スコア:0)
そういうこと。
この脆弱性は投機実行を持つ最近のCPUに広く影響する問題なので、この問題に対策する新しい(CPU上のハード実装面積が小さいという意味で)コストの安い新手法を提案するというもの。
特にIntelのCPUに限った話でもないです。
Re: (スコア:0)
PC Watchのこの文章が、ぱっと見て「OSの改修だけでできる」って読み取れるのが混乱の原因か。俺も最初そういう意味だと思ってた。
これは単に「OS側の改修は最小限で済むよ」という話で、ハード的な変更が不要とは言っていないのか。
Re: (スコア:0)
>しかし彼らの技術を実際にIntelなどのチップメーカーが採用すれば、
TechCrunchの記事にこう書いてあるから、ハード側の変更と、
それに合わせてOS側も最小限の変更が必要ってことなんでしょう。
あとGoogleが開発したRetpolineと混同してるってのもあるかも。
こちらは1809にさっさと入れろって言ってる人もいるから、
OS側の変更だけでいけるんでしょうし。
同時期に記事が流れたのが原因かも。
Re: (スコア:0)
君が来るのを待っていたんだよ
本当なら歓迎 (スコア:1)
うちのWindows10ちゃんが露骨に遅くなったので
Re:本当なら歓迎 (スコア:1)
今のところハードの変更も必須なので CPU を買い換えるのが前提だが、よろしいか?
Re: (スコア:0)
案外これはx86の終焉なのかもしれんな
Re: (スコア:0)
買い換えても新しい世代のintel or AMDプロセッサになるだけ。
Macもwinも基本はx86ですよ。
Arm積んだwindowsもないこたないですが大きめのマクロつきexcelシートすら耐えられない。
サーバサイドのソフトウェアもまだまだx86-64が中心なのに膨大なソフトウェア資産どーすんのよ?
Re:本当なら歓迎 (スコア:1)
> サーバサイドのソフトウェアもまだまだx86-64が中心なのに膨大なソフトウェア資産どーすんのよ?
サーバサイドのソフトウェアは、リコンパイルすればそのまま動くのが多そうではあります。
Re: (スコア:0)
理論的には動くにせよ、検証がクソ面倒だし、システム屋もそんなものの責任まで負いたくないのが現状かと。
Re: (スコア:0)
来年くらいから状況変わってくるでしょ
Re: (スコア:0)
実際自由にソフトを組み込む文化・運用は(特に企業・組織・団体用)PCからはなくなりましたからね。
今やスマホより不自由。
ならCPUアーキテクチャーか替わっても問題なし。
どうせ入れるのはOSとOfficeだけ。
Re: (スコア:0)
>OS側の最小限の修正で実現でき、実装が容易
OS側のみの対応でいけるもんだとばかり…
Re: (スコア:0)
あれ?だからハード変更必須だったのが不要になったってニュースでは?
Re:本当なら歓迎 (スコア:4, 参考になる)
論文のアブストラクトから引用すると
In this paper, we propose minimal modifications to hardware to defend against a broad class of attacks, including ...
(この論文において、我々は幅広い種類の攻撃に対して防御するためにハードウェアへの最低限の変更を提案する。その攻撃には以下のようなものが...)
Re:本当なら歓迎 (スコア:2)
-- To be sincere...
Re: (スコア:0)
マイクロコードじゃ無理。「こんなこともあろうかと」とかじゃない限り。
あくまでも、これから設計するハードに入れられるかもしれない機能。
そでもまだ完璧じゃなくて、欠陥もあるので研究継続中。
消費者に買い替えさせるなんて悪質すぎる (スコア:0)
欠陥のある危険な製品を売っておきながら、消費者に買い替えさせ、それによる利益を得るなんていうのは悪質すぎる。
(欠陥製品を販売したメーカーが、損をするどころか、欠陥が修正された製品を再度買わせて利益を得ることになる。)
ストーブとか扇風機が発火するケースなどでは、10年以上前の製品であっても、メーカーはリコールして代替品をよこすか全額返金している。
Intel もそれに倣った対応をすべき。
Re:消費者に買い替えさせるなんて悪質すぎる (スコア:1)
まぁCPUで人は死なないしね。
それに、普通に怪しいプログラムを動かさない限り、この脆弱性あっても問題は起きない。
一番の問題はVPSやレンタルサーバーやってる業者なんだよね。
同じハード上のAさんがBさんのメモリ参照できたわけだし。ほんとかわいそう。彼らは怒っていいと思う。
個人の消費者は気にする必要ないかと。
Re: (スコア:0)
個人が気にしなくてもMSやらAppleやらが勝手にOSにアップデートでオーバーヘッドの大きな状態にしてくれる訳ですが
Re: (スコア:0)
無論自己責任になるが、WindowsだとレジストリでMeltdown脆弱性緩和策を無効化出来るよ。
Re: (スコア:0)
MeltdownみたいなCPUの欠陥なんて事実上のソフトウェアのバグなんだから、相応の金を払えば保守契約してくれるんじゃないの?
現状の通常販売ルートだと、CPUにバグがあって、最悪、買い換えしかなくなるリスクの分、安価で購入できてるだけで。
Re: (スコア:0)
マイクロアーキテクチャ全面刷新しない限り解決不能だから、金払っても踏むし直らないよ。
Re: (スコア:0)
だから相応に金を払ってれば、マイクロアーキテクチャ刷新して交換してくれるんじゃない?
通常は無保証(販売時の性能・仕様がAsIsになる)の製品を、開発元と交渉して保守契約を結ぶことは往々にしてある。
そんな保守をintelと結んだらいくらするかは想像したくもないけどね。
Re: (スコア:0)
してくれないよ。解決には三年か五年はかかるから。ソフトで性能を落とすか、一般消費者の最後尾列に並んでくださいって言われるだけ。
保証できることとできないことがある。できないことは手切れ金払ってお終い。
ま、初代Atomを32コア5GHzで作ってくれ、とかならやってくれるかもしれないけど。
Re: (スコア:0)
修正はソフトウェアで提供されているし、ベンチマーク的な性能はそもそも最初から何も保障されていない。
対応が気にくわないなら、他のメーカーの製品を買えば良いだけ。
Re: (スコア:0)
じゃあ君が責任ある仕事をすればいいよ
彼らより安い値段で
Re: (スコア:0)
サイバーノーガード戦法が良いと言う判断が出ました(某IT部門)
Re: (スコア:0)
クラウド等で他ユーザーと共有していない一般的なサーバーの場合は
MeltdownやSpectreを実行できる状態 = 他の脆弱性を悪用されている状態ですし
そんなのMeltdown、Spectre以前の問題ですから
Re: (スコア:0)
否。
Javascriptとか。だからまずブラウザで必死に対応されたが、その他のアプリケーション、アプライアンス、ミドルウェアではどうなのか…?
Re: (スコア:0)
JavaScriptやブラウザプラグインだと侵入されなくても被害を受ける可能性があったけど、
それ以外だと既に侵入されてるわけでその時点でなぁ…
まぁ被害が大きくなるリスクも無いことはないんだが。
Re: (スコア:0)
VMだとホストの対策・仮想化ソフトの対策・ゲストの対策が三重にかかってむちゃくちゃ遅くなるとか
キャッシュメモリの割り当て (スコア:1)
キャッシュメモリの割り当てってOSで制御できるもんなの?
Re: (スコア:0)
できるっちゃできるしできないっちゃできない
昔のウィンドウズは実質X86用だから楽勝
今は面倒だろうね
DAWG (スコア:0)
知らない方のために、頭文字 DAWG の解説。
これは米国でよく見られる「Yo Dawg!」というインターネットスラングから来ています。
「この犬コロ野郎!」で始まるコメディのフレーズだと思えば良いでしょう。
グーグルで DAWG と画像検索するとイメージが分かると思います。
Re:DAWG (スコア:1)
黒人の画像が沢山見つかりました。。。