——訪清華大學(xué)微電子研究所所長魏少軍
“CPU漏洞門”事件爆發(fā)以來,社會的關(guān)注不斷擴(kuò)大,其核心問題已經(jīng)不僅是幾家公司是否存在“不做為”的嫌疑,而是關(guān)系到現(xiàn)代社會對于信息安全的保障。集成電路產(chǎn)業(yè)在其中應(yīng)當(dāng)承擔(dān)起應(yīng)有的社會責(zé)任。近年來,中國大力發(fā)展集成電路產(chǎn)業(yè),目的之一就是確保國家信息的安全可控。借鑒這一事件,中國的CPU企業(yè)在發(fā)展過程中,應(yīng)當(dāng)如何避免類似的事件發(fā)生?《中國電子報》采訪了清華大學(xué)微電子研究所所長魏少軍。
漏洞影響將長期存在
目前態(tài)度仍過于樂觀
記者:“CPU漏洞門”事件不斷擴(kuò)大。有觀點(diǎn)認(rèn)為,此事件已經(jīng)堪比十幾年前IT業(yè)界遭遇的“千年蟲”危機(jī)。對此事件,你如何評價?
魏少軍:此次發(fā)生的“CPU漏洞門”事件涉及的兩個漏洞“熔斷(Meltdown)”和“幽靈(Spectre)”與之前發(fā)生的類似事件有很大不同,具體來說,有如下幾個特點(diǎn):一是涉及面很寬。根據(jù)報道,不僅英特爾的CPU中招,AMD、IBM,甚至ARM也承認(rèn)其CPU產(chǎn)品也存在類似風(fēng)險。二是漏洞源自CPU本身的架構(gòu)和指令執(zhí)行機(jī)理缺陷。現(xiàn)在看來,之前為了提升CPU性能所采取的一些技術(shù),如分支預(yù)測、亂序執(zhí)行、超標(biāo)量和高速緩存等,是導(dǎo)致這兩個漏洞出現(xiàn)的根本原因。這與我們經(jīng)常談的“硬件木馬”有根本的不同。三是影響非常深遠(yuǎn)。對現(xiàn)有的國際玩家而言,要消除已經(jīng)出貨的數(shù)十億顆CPU存在的漏洞問題幾乎是不可能的事情,不僅要付出巨大代價,還需要很長的時間。四是解決的難度很大。由于這種漏洞出現(xiàn)在硬件上,而且是CPU架構(gòu)和指令執(zhí)行機(jī)理所造成的,無法簡單地打補(bǔ)丁。通過軟件進(jìn)行修復(fù)又會使CPU性能受到不同程度的影響。相關(guān)說法表明會有5%~30%不等的性能損失。更為可怕的是,是否可以徹底修復(fù)仍然未知。五是對這個行業(yè)的其他人的影響不可忽視。根據(jù)現(xiàn)有知識,凡是在CPU設(shè)計中采用了分支預(yù)測、亂序執(zhí)行、超標(biāo)量和高速緩存技術(shù)的,大概都會碰到同樣的問題,產(chǎn)品也都存在留有類似漏洞的風(fēng)險。
至于評價,此次事件應(yīng)該引起我們的高度重視。這類由于架構(gòu)和指令執(zhí)行機(jī)理缺陷引發(fā)的漏洞,通常很難發(fā)現(xiàn);且由于涉及硬件,也很難修改。一旦發(fā)生,影響面會非常寬,也會持續(xù)很長時間。從目前的情況來看,雖然沒有證據(jù)表明這兩個漏洞是處理器廠商有意為之,或者是他們在設(shè)計之初就已知曉此事,但由于利用這兩個漏洞的門檻不高,也很難斷言在這兩個漏洞大規(guī)模公開前沒有被惡意利用過,也就無從知曉已經(jīng)造成了多達(dá)的損失。
記者:長期來看,這一事件將對行業(yè)帶來哪些影響?
魏少軍:所謂漏洞是軟硬系統(tǒng)本身存在的技術(shù)缺陷,可以讓攻擊者在未獲授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞有兩個特點(diǎn),一是不可避免,二是難以修復(fù)。以這次的“熔斷”和“幽靈”漏洞為例,所有應(yīng)用了亂序執(zhí)行、分支預(yù)測、超標(biāo)量和高速緩存等技術(shù)的CPU幾乎都無一例外存在這兩個漏洞。針對這兩個漏洞的修復(fù),大多數(shù)人或許都太過于樂觀了。不少人認(rèn)為微軟等操作系統(tǒng)廠商能夠通過打補(bǔ)丁來修復(fù),最壞不過是引起CPU性能的下降。而實(shí)際上,操作系統(tǒng)廠商提供的軟件補(bǔ)丁不過是部分解決了用戶態(tài)軟件利用該漏洞獲取操作系統(tǒng)內(nèi)存信息的問題,并未杜絕這兩種漏洞被惡意利用的可能。即使打了操作系統(tǒng)補(bǔ)丁,別有用心的黑客仍舊可以利用該漏洞獲取用戶不被允許訪問的數(shù)據(jù)。說的更直接一些,操作系統(tǒng)廠商不過是通過打補(bǔ)丁的方式來撇清自己跟這兩個漏洞的關(guān)系而已,并沒有也不可能消除這些漏洞。事實(shí)上,黑客能否通過其他方式繞過操作系統(tǒng)來利用這兩個漏洞,已不是他們關(guān)心的事了。這兩個漏洞在現(xiàn)代主流的CPU里,以前存在、現(xiàn)在存在、恐怕今后還將存在,無論是操作系統(tǒng)軟件廠商還是處理器硬件廠商都沒有辦法進(jìn)行修復(fù)。從長遠(yuǎn)來看,這些漏洞暴露事件將會對主流CPU性能的提升產(chǎn)生一定阻礙。主流的設(shè)計廠商在未來的微架構(gòu)中可能會因?yàn)轭櫦砂踩远呌诒J亍5覀冋J(rèn)為,這種影響對于信息技術(shù)的長遠(yuǎn)發(fā)展是有利的,只有安全的信息化產(chǎn)品才能夠更好服務(wù)于人民的生活。
2018年或可定義為
全球硬件安全元年
記者:中國CPU企業(yè)是否也將會受到兩個漏洞的波及?
魏少軍:目前還不是很清楚我國CPU企業(yè)是否也受到這兩個漏洞的波及,因?yàn)榈侥壳盀橹梗€沒有國內(nèi)企業(yè)承認(rèn)自己的產(chǎn)品存在類似的漏洞。這有可能是根本就不清楚自己是否被波及到了,也有可能是知道了不說,但更可能是在產(chǎn)品設(shè)計中還沒有采用亂序執(zhí)行和分支預(yù)測等技術(shù)。這可以讓我們從側(cè)面探窺國產(chǎn)CPU產(chǎn)品性能之所以遠(yuǎn)遠(yuǎn)落后國際同行的原因。當(dāng)然,我們非常希望看到,國內(nèi)企業(yè)采用了亂序執(zhí)行和分支預(yù)測等技術(shù)但又規(guī)避了前述漏洞。如果真的做到這一點(diǎn),也說明國產(chǎn)CPU在設(shè)計技術(shù)上有了巨大的突破。
記者:國家大力投入發(fā)展集成電路產(chǎn)業(yè),一個主要的目的就是保障信息安全。借鑒這一事件,中國CPU企業(yè)在發(fā)展過程中,應(yīng)當(dāng)如何避免類似的事件發(fā)生?
魏少軍:這兩個漏洞的影響之深遠(yuǎn)程度可能需要更長的時間來觀察,但是毋庸置疑的是,這是第一次硬件安全問題從學(xué)術(shù)層面走進(jìn)大眾視野。雖然我們不愿意承認(rèn),但是隨著信息系統(tǒng)硬件設(shè)計的日趨復(fù)雜,現(xiàn)代芯片動輒上百億顆晶體管,類似的芯片漏洞、前門、后門,甚至硬件木馬(惡意硬件)等將會更大規(guī)模的影響信息系統(tǒng)的硬件安全,進(jìn)而影響軟件安全,影響系統(tǒng)安全。因此,完全可以把2018年定義為全球硬件安全的元年。
這次“熔斷”和“幽靈”漏洞暴露后,有兩件事情非常值得我們深思。第一,為什么這次發(fā)現(xiàn)漏洞的不是傳統(tǒng)從事信息安全的專業(yè)機(jī)構(gòu)?第二,到目前為止似乎也沒有從事信息安全的專業(yè)機(jī)構(gòu)能拿出有效的解決方案。這是否說明,在信息安全的發(fā)展思路上也出現(xiàn)了“漏洞”?
長久以來,我國在保障計算機(jī)信息安全上做了大量的工作,也取得了不少的成績。但總的來說還未擺脫被動應(yīng)對的局面,對暴露出來問題也大多是后知后驗(yàn)。計算機(jī)信息安全工作主要停留在查毒殺毒等被動防御層面,很少去考慮主動防御,在主動防御上建樹不多。我國一些從事CPU研發(fā)的單位和企業(yè)寄希望于采取行政手段或通過制定標(biāo)準(zhǔn)規(guī)范來達(dá)到目的。顯然,在本次“熔斷”和“幽靈”漏洞面前,這些手段和方法都顯得十分蒼白無力。這次“CPU漏洞門”事件提醒我們:現(xiàn)在是時候扭轉(zhuǎn)一下發(fā)展思路了,要變“被動防御”為“主動防御”。
要想做到真正的安全可控,關(guān)鍵還是要掌握核心技術(shù)。沒有核心技術(shù)的支撐,按照別人的思路和架構(gòu)去發(fā)展,很難逃開與別人一樣的結(jié)局。這次“熔斷”和“幽靈”漏洞事件給了所有從事CPU研發(fā)的人一個重新審視自己工作的機(jī)會。中國的CPU發(fā)展由于發(fā)展水平不高,有可能僥幸繞過了“熔斷”和“幽靈”的影響,但不等于今后就可以高枕無憂。我們的CPU企業(yè)應(yīng)該在基礎(chǔ)技術(shù)上繼續(xù)追趕的同時,在架構(gòu)創(chuàng)新上有所作為。
另外,還需要強(qiáng)調(diào)的一點(diǎn)是,我們還可以抓住這次事件的機(jī)遇,轉(zhuǎn)危為機(jī)。本次“熔斷”和“幽靈”暴露出的硬件漏洞,短期內(nèi)可以通過軟件補(bǔ)丁在一段時間內(nèi)緩解,但長遠(yuǎn)看還是要通過更換硬件才能夠解決。顯然,我們需要回答幾個問題,第一,軟件補(bǔ)丁到底會對CPU的性能帶來多大的影響?第二,如何防止黑客再利用這些漏洞,畢竟這些漏洞現(xiàn)在成為了公開的秘密,也就是“潘多拉的盒子”已經(jīng)打開了,只靠軟件是否能夠徹底防護(hù)住?第三,新的CPU產(chǎn)品如何能夠徹底避免此類架構(gòu)和運(yùn)行機(jī)制上的漏洞?尤以第二個問題最為嚴(yán)重,尋求明確的答案也最為緊迫。很不幸的是,答案很可能是否定的。在這三個問題上,我國企業(yè)與國外企業(yè)處在同一起跑線上,如果抓住機(jī)遇,有可能實(shí)現(xiàn)國產(chǎn)CPU的一次大幅度進(jìn)步。例如,國內(nèi)近年來在芯片領(lǐng)域已經(jīng)有了不少的進(jìn)步,特別是在“可重構(gòu)計算-軟件定義芯片”技術(shù)上領(lǐng)先國際同行,引起全球的高度關(guān)注。利用這一技術(shù)所實(shí)現(xiàn)的CPU外部特性實(shí)時監(jiān)控技術(shù),可以檢出和復(fù)現(xiàn)“熔斷”和“幽靈”類似的非法操作,并與軟件配合隨時監(jiān)控可能插入的、企圖利用這些漏洞盜取數(shù)據(jù)的潛在行為。因此,我國CPU企業(yè)應(yīng)該充分利用這次事件贏取發(fā)展先機(jī),實(shí)現(xiàn)國產(chǎn)CPU的一次大踏步前進(jìn)。