——訪清華大學微電子研究所所長魏少軍
“CPU漏洞門”事件爆發(fā)以來,社會的關注不斷擴大,其核心問題已經(jīng)不僅是幾家公司是否存在“不做為”的嫌疑,而是關系到現(xiàn)代社會對于信息安全的保障。集成電路產(chǎn)業(yè)在其中應當承擔起應有的社會責任。近年來,中國大力發(fā)展集成電路產(chǎn)業(yè),目的之一就是確保國家信息的安全可控。借鑒這一事件,中國的CPU企業(yè)在發(fā)展過程中,應當如何避免類似的事件發(fā)生?《中國電子報》采訪了清華大學微電子研究所所長魏少軍。
漏洞影響將長期存在
目前態(tài)度仍過于樂觀
記者:“CPU漏洞門”事件不斷擴大。有觀點認為,此事件已經(jīng)堪比十幾年前IT業(yè)界遭遇的“千年蟲”危機。對此事件,你如何評價?
魏少軍:此次發(fā)生的“CPU漏洞門”事件涉及的兩個漏洞“熔斷(Meltdown)”和“幽靈(Spectre)”與之前發(fā)生的類似事件有很大不同,具體來說,有如下幾個特點:一是涉及面很寬。根據(jù)報道,不僅英特爾的CPU中招,AMD、IBM,甚至ARM也承認其CPU產(chǎn)品也存在類似風險。二是漏洞源自CPU本身的架構和指令執(zhí)行機理缺陷?,F(xiàn)在看來,之前為了提升CPU性能所采取的一些技術,如分支預測、亂序執(zhí)行、超標量和高速緩存等,是導致這兩個漏洞出現(xiàn)的根本原因。這與我們經(jīng)常談的“硬件木馬”有根本的不同。三是影響非常深遠。對現(xiàn)有的國際玩家而言,要消除已經(jīng)出貨的數(shù)十億顆CPU存在的漏洞問題幾乎是不可能的事情,不僅要付出巨大代價,還需要很長的時間。四是解決的難度很大。由于這種漏洞出現(xiàn)在硬件上,而且是CPU架構和指令執(zhí)行機理所造成的,無法簡單地打補丁。通過軟件進行修復又會使CPU性能受到不同程度的影響。相關說法表明會有5%~30%不等的性能損失。更為可怕的是,是否可以徹底修復仍然未知。五是對這個行業(yè)的其他人的影響不可忽視。根據(jù)現(xiàn)有知識,凡是在CPU設計中采用了分支預測、亂序執(zhí)行、超標量和高速緩存技術的,大概都會碰到同樣的問題,產(chǎn)品也都存在留有類似漏洞的風險。
至于評價,此次事件應該引起我們的高度重視。這類由于架構和指令執(zhí)行機理缺陷引發(fā)的漏洞,通常很難發(fā)現(xiàn);且由于涉及硬件,也很難修改。一旦發(fā)生,影響面會非常寬,也會持續(xù)很長時間。從目前的情況來看,雖然沒有證據(jù)表明這兩個漏洞是處理器廠商有意為之,或者是他們在設計之初就已知曉此事,但由于利用這兩個漏洞的門檻不高,也很難斷言在這兩個漏洞大規(guī)模公開前沒有被惡意利用過,也就無從知曉已經(jīng)造成了多達的損失。
記者:長期來看,這一事件將對行業(yè)帶來哪些影響?
魏少軍:所謂漏洞是軟硬系統(tǒng)本身存在的技術缺陷,可以讓攻擊者在未獲授權的情況下訪問或破壞系統(tǒng)。漏洞有兩個特點,一是不可避免,二是難以修復。以這次的“熔斷”和“幽靈”漏洞為例,所有應用了亂序執(zhí)行、分支預測、超標量和高速緩存等技術的CPU幾乎都無一例外存在這兩個漏洞。針對這兩個漏洞的修復,大多數(shù)人或許都太過于樂觀了。不少人認為微軟等操作系統(tǒng)廠商能夠通過打補丁來修復,最壞不過是引起CPU性能的下降。而實際上,操作系統(tǒng)廠商提供的軟件補丁不過是部分解決了用戶態(tài)軟件利用該漏洞獲取操作系統(tǒng)內(nèi)存信息的問題,并未杜絕這兩種漏洞被惡意利用的可能。即使打了操作系統(tǒng)補丁,別有用心的黑客仍舊可以利用該漏洞獲取用戶不被允許訪問的數(shù)據(jù)。說的更直接一些,操作系統(tǒng)廠商不過是通過打補丁的方式來撇清自己跟這兩個漏洞的關系而已,并沒有也不可能消除這些漏洞。事實上,黑客能否通過其他方式繞過操作系統(tǒng)來利用這兩個漏洞,已不是他們關心的事了。這兩個漏洞在現(xiàn)代主流的CPU里,以前存在、現(xiàn)在存在、恐怕今后還將存在,無論是操作系統(tǒng)軟件廠商還是處理器硬件廠商都沒有辦法進行修復。從長遠來看,這些漏洞暴露事件將會對主流CPU性能的提升產(chǎn)生一定阻礙。主流的設計廠商在未來的微架構中可能會因為顧忌安全性而更趨于保守。但我們認為,這種影響對于信息技術的長遠發(fā)展是有利的,只有安全的信息化產(chǎn)品才能夠更好服務于人民的生活。
2018年或可定義為
全球硬件安全元年
記者:中國CPU企業(yè)是否也將會受到兩個漏洞的波及?
魏少軍:目前還不是很清楚我國CPU企業(yè)是否也受到這兩個漏洞的波及,因為到目前為止,還沒有國內(nèi)企業(yè)承認自己的產(chǎn)品存在類似的漏洞。這有可能是根本就不清楚自己是否被波及到了,也有可能是知道了不說,但更可能是在產(chǎn)品設計中還沒有采用亂序執(zhí)行和分支預測等技術。這可以讓我們從側面探窺國產(chǎn)CPU產(chǎn)品性能之所以遠遠落后國際同行的原因。當然,我們非常希望看到,國內(nèi)企業(yè)采用了亂序執(zhí)行和分支預測等技術但又規(guī)避了前述漏洞。如果真的做到這一點,也說明國產(chǎn)CPU在設計技術上有了巨大的突破。
記者:國家大力投入發(fā)展集成電路產(chǎn)業(yè),一個主要的目的就是保障信息安全。借鑒這一事件,中國CPU企業(yè)在發(fā)展過程中,應當如何避免類似的事件發(fā)生?
魏少軍:這兩個漏洞的影響之深遠程度可能需要更長的時間來觀察,但是毋庸置疑的是,這是第一次硬件安全問題從學術層面走進大眾視野。雖然我們不愿意承認,但是隨著信息系統(tǒng)硬件設計的日趨復雜,現(xiàn)代芯片動輒上百億顆晶體管,類似的芯片漏洞、前門、后門,甚至硬件木馬(惡意硬件)等將會更大規(guī)模的影響信息系統(tǒng)的硬件安全,進而影響軟件安全,影響系統(tǒng)安全。因此,完全可以把2018年定義為全球硬件安全的元年。
這次“熔斷”和“幽靈”漏洞暴露后,有兩件事情非常值得我們深思。第一,為什么這次發(fā)現(xiàn)漏洞的不是傳統(tǒng)從事信息安全的專業(yè)機構?第二,到目前為止似乎也沒有從事信息安全的專業(yè)機構能拿出有效的解決方案。這是否說明,在信息安全的發(fā)展思路上也出現(xiàn)了“漏洞”?
長久以來,我國在保障計算機信息安全上做了大量的工作,也取得了不少的成績。但總的來說還未擺脫被動應對的局面,對暴露出來問題也大多是后知后驗。計算機信息安全工作主要停留在查毒殺毒等被動防御層面,很少去考慮主動防御,在主動防御上建樹不多。我國一些從事CPU研發(fā)的單位和企業(yè)寄希望于采取行政手段或通過制定標準規(guī)范來達到目的。顯然,在本次“熔斷”和“幽靈”漏洞面前,這些手段和方法都顯得十分蒼白無力。這次“CPU漏洞門”事件提醒我們:現(xiàn)在是時候扭轉一下發(fā)展思路了,要變“被動防御”為“主動防御”。
要想做到真正的安全可控,關鍵還是要掌握核心技術。沒有核心技術的支撐,按照別人的思路和架構去發(fā)展,很難逃開與別人一樣的結局。這次“熔斷”和“幽靈”漏洞事件給了所有從事CPU研發(fā)的人一個重新審視自己工作的機會。中國的CPU發(fā)展由于發(fā)展水平不高,有可能僥幸繞過了“熔斷”和“幽靈”的影響,但不等于今后就可以高枕無憂。我們的CPU企業(yè)應該在基礎技術上繼續(xù)追趕的同時,在架構創(chuàng)新上有所作為。
另外,還需要強調(diào)的一點是,我們還可以抓住這次事件的機遇,轉危為機。本次“熔斷”和“幽靈”暴露出的硬件漏洞,短期內(nèi)可以通過軟件補丁在一段時間內(nèi)緩解,但長遠看還是要通過更換硬件才能夠解決。顯然,我們需要回答幾個問題,第一,軟件補丁到底會對CPU的性能帶來多大的影響?第二,如何防止黑客再利用這些漏洞,畢竟這些漏洞現(xiàn)在成為了公開的秘密,也就是“潘多拉的盒子”已經(jīng)打開了,只靠軟件是否能夠徹底防護住?第三,新的CPU產(chǎn)品如何能夠徹底避免此類架構和運行機制上的漏洞?尤以第二個問題最為嚴重,尋求明確的答案也最為緊迫。很不幸的是,答案很可能是否定的。在這三個問題上,我國企業(yè)與國外企業(yè)處在同一起跑線上,如果抓住機遇,有可能實現(xiàn)國產(chǎn)CPU的一次大幅度進步。例如,國內(nèi)近年來在芯片領域已經(jīng)有了不少的進步,特別是在“可重構計算-軟件定義芯片”技術上領先國際同行,引起全球的高度關注。利用這一技術所實現(xiàn)的CPU外部特性實時監(jiān)控技術,可以檢出和復現(xiàn)“熔斷”和“幽靈”類似的非法操作,并與軟件配合隨時監(jiān)控可能插入的、企圖利用這些漏洞盜取數(shù)據(jù)的潛在行為。因此,我國CPU企業(yè)應該充分利用這次事件贏取發(fā)展先機,實現(xiàn)國產(chǎn)CPU的一次大踏步前進。