在AMD和英特尔之间的战斗中,哪些处理器更安全?


Text to Speech

AMD和英特尔之间赛马很有趣,但是在安全方面,与游戏中的帧速率相比,它的利益要大得多。隐约出现了一个容易忘记的幽灵幻影。像Spectre及其变种,以及ZombieLoad和其他一些侧通道攻击这样的推测性执行漏洞仍然像以往一样可怕。

英特尔已经看到了这个漏洞的主要责任,但AMD处理器并不完全处于免费状态。离得很远。

两家公司都被迫实施自己的缓解补丁和硬件修复程序,以确保用户远离这些潜在的恶劣攻击。但是,所有这些都已经完成,这对2019年来说是更安全,更安全的选择:英特尔还是AMD?

从第一天开始战斗

英特尔处理器安全幽灵漏洞利用2

在最后一个痛苦的一年半中揭露的第一个漏洞是幽灵和它的变种,Meltdown。但是,AMD的大部分目录仅受到Spectre的影响,早在2008年发布的英特尔芯片就容易受到影响。在接下来的几个月中会出现的其他漏洞,包括Foreshadow,Lazy FPU,Spoiler和MDS,都是英特尔CPU上可行的攻击媒介,但不是AMD的攻击媒介。

至于英特尔的信誉,它一直在与其用户展开良好的斗争,因为这些漏洞被发现,通过Apple和微软等软件合作伙伴发布微代码修复和缓解,这在很大程度上使这些漏洞利用路径变得多余。

英特尔还开始在其最新处理器中对其中一些漏洞实施更加永久的硬件修复。这些修复程序独立于微代码和软件更新工作,使选择的处理器安全,并通过其设计保护免受这些特定的攻击。这些产品与早期的处理器没有相同的缺陷,代表了尽可能地阻止像Spectre一样的攻击。

随着第八代Whiskey Lake-U CPU的发布,英特尔开始在其芯片中实施硬件修复,包括Core i7-8665U,i7-8565U和i5-8365U,由于硬件的原因,它们可以防止Meltdown,Foreshadow和RIDL变化。

TS的第九代芯片的桌面阵容,如9900K,9700K,和9600KF,都包括相同的硬件缓解。然而,基于英特尔Cascade Lake设计的整个第二代英特尔至强处理器享有迄今为止所有英特尔CPU最全面的硬件修复集合,仅有Spectre v1 v2和V4,需要一些软件保护。

随着10nm Ice Lake移动CPU 在今年余下时间 的逐渐扩散,将进一步修复 这些问题

英特尔冰湖不会摆脱幽灵不安全的芯片

Walden Kirsch /英特尔公司

在与Digital Trends的讨论中,英特尔明确表示微码/软件修复与硬件缓解之间的安全性没有实质性差异。

但重要的是要注意最终用户不得采取任何行动来受到硬件修复的保护。如果需要操作系统或软件更新,则可能无法安装它们,这可能会使用户容易受到攻击。

对于这个问题,硬件修复是一个更持久的解决方案,据英特尔称,“未来的英特尔处理器将包括解决已知漏洞的硬件缓解措施。” 令人欣慰的是,英特尔正在设计其未来产品时考虑到安全性,但这些硬件修复将会不是详尽无遗的。

正如Rambus的高级技术顾问Paul Kocher今年早些时候告诉Digital Trends,“当你处理Spectre最基本的变体时,英特尔所阐述的唯一策略是将问题推向软件的方式。软件开发人员无法处理[...]建议的解决方案是你拥有条件分支的所有东西,所以程序中的“if”语句如果被错误预测会导致麻烦。你应该放一个叫做“L Fence!”的指令!即使采用新设计,投入L Fence也必须阻止投机的发生,并对性能产生影响。“

虽然不像英特尔那样受影响,但AMD也在为其新一代硬件带来硬件修复。其Ryzen 3000处理器均具有Spectre和Spectre V4的硬件修复功能,以及操作系统保护功能。

安全的价格

硬件修复不仅重要,因为它们确保具有该芯片的任何人都能立即获得相同的修复,但由于硬件修复与某些软件修补程序没有相同的性能损失。在某些情况下,他们必须有效地关闭重要功能,以防止某些攻击。

虽然不能直接与缓解对Windows PC的影响进行比较,但Phoronix已经对他们如何影响Linux平台进行了广泛的测试。它注意到各种测试中的性能明显下降。在完全关闭超线程的情况下, 像苹果和谷歌这样的公司推荐 整体性能平均下降了25%

通过软件缓解,AMD无法抵御性能损失。 Phoronix的测试显示 大多数情况下降低了几个百分点,尽管它们的影响力通常远低于英特尔。在 Ryzen 3000 CPU的最新一轮测试中也是如此 ,其中英特尔芯片在某些情况下开始更快,但在缓解后明显变慢。

amd intel处理器安全性amdslide01

当我们联系英特尔讨论其漏洞利用缓解的性能影响时,它淡化了影响,表明,“一般来说,虽然在选定的数据中心工作负载上观察到性能影响,但对于普通消费者来说,这些修复的影响是最小“。

它还向我们提供了安全博客 The Daily Swig 的一份报告, 报告 收集了许多关于Spectre变体缓解的性能影响的声明。英特尔方面的结果大多是积极的,许多Swig的消息来源表明对最终用户的影响微乎其微。但是,它确实表明,在某些情况下,特别是在数据中心和云服务器中,一些测试看到了修复的10-15%的影响。

尽管失去处理器性能令人失望,但更令人担忧的是设备制造商不会实施缓解措施,因为担心他们的设备看起来不如竞争对手。英特尔已将补丁作为设备制造商和最终用户的可选实施方案。这是Linux创建者 Linus Torvalds在2018年初批评的一个问题

当我们询问英特尔这种做法是否会继续向前推进时,它表示它不会要求其合作伙伴提供安全补丁,但是,“一如既往,英特尔鼓励所有计算机用户确保他们的系统保持最新状态,因为这是保持受保护的最佳方式之一。“

让任何人这样做,无论是智能手机还是笔记本电脑,都是许多公司都在努力解决的问题,即使这是让您的设备 远离黑客和一般恶意软件 的最重要方法之一 。因此,这些特定补丁可能导致性能下降的事实使得它更难卖。特别是因为几乎没有证据表明在野外实际发生了任何投机性执行攻击。

在我们与英特尔就此问题进行的讨论中,它再次淡化了这些漏洞利用路径的严重性,指出“在实验室环境之外利用投机性执行侧漏洞相对于攻击者可以使用的其他方法极为复杂。”

它还指出 了弗吉尼亚理工大学从2019年开始的一项研究, 研究 强调了平均只有5.5%的已发现漏洞在野外被积极利用。

不要害怕。体贴

尽管Spectre及其同类产品都是可怕的,但英特尔的说法应该能够缓解这种恐惧。到目前为止,Spectre不太可能在野外被利用。任何想要破解你的特定系统的人都可能会在他们考虑像Spectre及其变种之类的攻击路径之前使用其他方法。有更简单的方法。尤其是只是给你一个电话,并尝试社交工程师放弃你的私人信息。

但这并不意味着我们不应该在购买新硬件时考虑到我们对Spectre的担忧。事实上,英特尔硬件比AMD更容易受到影响,原因很简单,因为英特尔CPU上存在更多潜在的利用路径,而更多地依赖于可能已实施或未实施的软件补丁。

AMD首席执行官Lisa Ku
AMD

与旧芯片相比,两家公司的新硬件更安全,并且受缓解影响更小。您将在最新的Ryzen 3000系列处理器和英特尔的第9代芯片中找到更多硬件修复程序。 冰湖承诺提供更多的修复,而英特尔在2020年传闻的Comet Lake S芯片无疑还包括进一步修复。

如果您担心Spectre,将处理器升级到Intel和AMD的最新一代芯片中绝对值得考虑。如果您特别担心或不想担心软件补丁,那么AMD CPU受这些攻击的影响较小。

值得指出的是,我们所说的大多数专家都认为我们还没有看到最后一种类型的漏洞利用,而且更多可能会出现问题。也就是说,直到英特尔及其同时代人开发出一种新的预防性策略 - 这 可能就像是一个安全的核心 。这些潜在的新的未被发现的漏洞也可能导致现有硬件的性能进一步下降。

这只是猜测;也许是一种看待投机执行错误未来的恰当方式。就目前而言,当涉及到这些类型的错误时,普通人不太可能对现实世界产生太大影响。但是,如果你必须在安全性和性能方面选择一个胜利者,那么毫无疑问AMD硬件目前处于领先地位。英特尔硬件在很多方面仍然很出色,但这是其强大的优势所在。

Previous Entries Slack的桌面应用终于有了黑暗模式。以下是启用它的方法 Next Entries Best Buy下降选择MacBook Air和MacBook Pro型号至最低价格

發表評論