國產CPU之殤——關於近期重大安全漏洞的綜述

作者：紫檀

本文轉載自紫檀芯說，已經獲得原作者授權，歡迎關注頭條號「紫檀芯說」，看更多精彩文章。

2018年初被披露的現代處理器中存在的熔斷（Meltdown）和幽靈（Spectre）高危安全缺陷，造成的安全威脅等級持續提升中，全球近20年生產的幾乎所有計算機和智能手機等數幾十億的設備面臨攻擊的可能性。由於熔斷（Meltdown）和幽靈（Spectre）這兩個缺陷來自於底層微架構，並不依託於操作系統或者特定程序的漏洞作為攻擊載體，是CPU技術中的並行計算、分支預測機制的設計迴路出現了問題，隱蔽性極強，且破化力巨大，所有市面上已經存在的帶有缺陷的硬體設備都會暴露在攻擊範圍內。眾多廠商自 1995 年發布的處理器都受影響，到目前為止還無法估計此次缺陷所造成的損失。

圖1 2018年1月的攻擊增長趨勢

事件中受影響最大的Intel處理器不僅至今未能修復缺陷，而且還暫停部署了此前發布的修復程序。而根據 Zdnet.com 的報道惡意軟體數量卻不斷增多中，德國知名的安全服務商 AV-Test 發現自缺陷公布後至今累計識別出 139 項惡意軟體樣本，其中就有利用瀏覽器的JavaScript腳本展開攻擊的。現有的軟體補丁的解決辦法畢竟只是治標不治本，因為不同於以往操作系統的漏洞，此次基於硬體缺陷的攻擊沒有明顯的程序特徵，傳統殺毒、偵測軟體很難識別，且攻擊後不會在系統上留下任何痕迹，無法跟蹤攻擊者。這一攻擊特性揭示了基於處理器底層硬體缺陷攻擊的複雜性。唯一能徹底解決上述漏洞的方法是CPU底層硬體架構設計的完善和創新，即重新設計處理器。

1月22日（暫停更新補丁）前，英特爾陸續為過去5年里發布的九成 CPU 發布了固件更新，旨在緩解 Meltdown 和 Spectre造成的影響。除了英特爾，其它許多軟硬體製造商也為自家系統發布了相關補丁。基於數據中心的跑分結果，英特爾聲稱補丁只會對整體性能造成 0~2% 的影響。然而某些針對存儲性能的測試表明，補丁可能對數據吞吐造成高達 18% 的負面影響。存儲性能開發套件（SPDK）測試顯示，單核性能的影響甚至可達 25% 。

圖2：受熔斷（Meltdown）和幽靈（Spectre）缺陷影響的處理器

在現代CPU架構中，為了提高執行速度採取了很多優化手段，推測執行（Speculative Execution）是主要的優化技術之一，通常推測執行技術在程序實際運行時能達到80%-90%以上的推測準確率。從本質上來講，這兩種攻擊都屬於利CPU緩存(cache)的側信道攻擊的範疇。

近年隨著人工智慧、雲計算、物聯網等新應用的蓬勃發展， CPU與GPU、FPGA等其他計算單元的深度融合成為產業發展的必然選擇，除了已知受影響的個人終端用戶和雲服務提供商外，受影響的晶元和產品還在不斷增多，在此例舉幾個已受影響的應用領域。

無人駕駛領域：

外媒報道，英偉達的GPU（圖形處理器）疑與受攻擊的CPU進行交互，已與幾家無人駕駛汽車製造商合作的晶元製造商英偉達同樣被曝受到英特爾漏洞影響。就自動駕駛車輛而言，大眾和沃爾沃與英偉達展開合作，特斯拉與AMD達成合作開發自動駕駛晶元，奧迪也與英特爾展開合作。

視頻監控領域：

近年來，全球恐怖襲擊、意外事件時有發生，公共安全、反恐已成為全球關注的焦點，視頻監控系統作為安防必不可少的技術手段，據IHS公司預計全球視頻監控設備市場2017將超過200億美元，而目前視頻監控市場主流晶元多採用Arm晶元。

交通樞紐、供電網等

圖3：量子通信京滬幹線合肥總控中心

上圖展示的是量子通信京滬幹線合肥總控中心，這是監控量子通信幹線各個樞紐機關（其中主要是可信任中繼站）的中心，是掌握所有機密的核心，也是保護量子通信幹線安全的最後屏障。黑客可以利用桌上電話和手機裡面微處理器中的「熔斷和幽靈」缺陷竊取秘密，由於量子通信讓裸露的密鑰在傳送中接觸了更多的微處理器，所以問題要更嚴重一點。

各電網公司的終端設備和伺服器均受「熔斷（Meltdown）和幽靈（Spectre）缺陷影響，如被入侵，將會帶來不可估量的損失。

中國是全球最大的晶元用戶，2013年以來我國每年集成電路進口總額都超過2000億美元，2017年或將創歷史新高超過2500億美元。進口晶元存在的「後門」

或者「漏洞」已經成為我國信息安全領域的嚴重隱患。通過此次事件，讓我們更加清醒地認識到晶元一直都是「中國之痛」，如鯁在喉。處理器的國產化和自主創新能力的建設一直是國家的重要戰略。近些年來，中國不少公司依靠授權或者自研的方式試圖研發出屬於自己的處理器。

圖4：國產處理器架構/指令集及其技術來源

在處理器市場，國外品牌和架構佔據了絕大多數市場。在PC和筆記本電腦市場，根據 PassMark的報告，在2017年第二季度，英特爾的市場份額為69%、AMD為31%。在伺服器市場，根據市場研究機構IDC的數據，英特爾在數據中心領域的市場份額高達98%，亞馬遜 AWS、微軟 Azure、阿里雲等領先的公有雲服務都大量使用了英特爾的處理器。AMD和Armv8各1%左右。國產處理器市場份額仍然很低，目前應用市場主要是超級計算機與安全保密計算機、政企等專用市場，十分「小眾」。手機處理器市場也基本上被Arm壟斷。

圖5：2017年第三季度全球智能手機 SoC 市場份額

指令集定義了微處理器的功能，對處理器的性能有決定性影響，它以流水線、存儲結構、運算單元等多種形式實現在CPU內部。我國每年CPU進口數量就占集成電路進口年度總額的近1/4。目前英特爾和Arm 兩家家公司的指令集體系，基本壟斷了全世界幾乎所有的智能手機、電腦及伺服器等設備。而中國基於真正自主知識產權的指令集的晶元在國內市場的佔有率不超過3%，僅有神威-太湖之光、龍芯和華夏芯等極少數公司屬於此列。

本次安全事件暴露了更為深層次的問題：目前國內通過直接（合資）或者間接（授權）獲得國外CPU架構的所謂 「國產處理器」晶元廠商，出於技術引進目的和滿足兼容性的要求，都採用了此次受攻擊的分支預測等技術。因此包括來源於Intel X86、Arm、MIPS、PowerPC的國產CPU，無論是通過合資還是基於許可設計的，都無法避免Spectre的缺陷問題。因此，這些國產處理器「不受影響」與「不存在漏洞」其實和Intel、AMD、Arm一樣需要採取事後打補丁的補救措施。

在經歷此次重大安全事故後，業界對支撐CPU底層硬體安全的這兩大關鍵技術（指令集和微架構）的自主可控有了新的認識。國產「神威·太湖之光」的「申威」系列處理器設計團隊負責人、上海高性能集成電路設計中心副主任田斌認為：「軟硬體緊密結合才能把漏洞堵住，這就要求我們必須做好硬體—自主可控的CPU重要性不言而喻。」雖然我們不能根據CPU對上述漏洞是否具有免疫能力來評判CPU設計的先進性，但是如同國內不少有識之士指出的，如果中國不掌握指令集、工具鏈和微架構等核心技術，也必然無法掌握預先防範和自主修復的主動權。魏少軍等專家更是明確提出：現在是時候扭轉一下發展思路了，要變「被動防禦」為「主動防禦」。要想做到真正的安全可控，關鍵還是要掌握核心技術。事實上，這兩個缺陷已經對於處理器行業產生了深遠的影響。華夏芯公司就在其公開提出的分析報告中認為，這次暴露的問題，在一定程度上動搖了目前國際幾大處理器廠商在高性能超標量技術領域的絕對統治地位。接下來大家都將面臨新一輪的競賽——設計兼顧高可靠性和高性能的新一代處理器，這也意味著中國處理器廠商第一次有機會和全球競爭對手站在同一起跑線上。

下附本次事件發展進程：

1月3日，Google公司的Project Zero等安全團隊披露出的英特爾等處理器晶元存在非常嚴重的安全漏洞，發布了A級漏洞風險通告，並提醒該漏洞演化為針對雲和信息基礎設施的A級網路安全災難。

1月4日，國家信息安全漏洞共享平台CNVD發布Meltdown漏洞（CNVD-2018-00303，對應CVE-2017-5754）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304，對應CVE-2017-5715和CVE-2017-5753）安全公告，CNVD對該漏洞的綜合評級為「高危」。

截至1 月 10 日，包括 Intel、高通、Apple、NVIDIA、Arm 均承認旗下處理器受 Meltdown 和 Spectre 兩個漏洞影響；Windows、Linux、MacOS、Android等主流操作系統都受上述漏洞的影響，尤其以Intel的晶元受上述漏洞影響最為嚴重。採用這些晶元和操作系統的公有雲服務提供商，私有雲、電子政務雲等基礎設施，廣大終端用戶，都有可能遭遇利用上述漏洞機理髮起的組合攻擊。

1月16日，全國信息安全標準化技術委員會發布《網路安全實踐指南—CPU熔斷和幽靈漏洞防範指引》（https://www.tc260.org.cn/）。

1月19日國產CPU中的典型代表兆芯、申威等均表態「幾乎不受影響」。

1月22日，英特爾停止部署當前版本的補丁，因為之前發布的補丁可能會帶來預料之外的重啟和其他非預期的系統行為。

1月30日，華夏芯發布「針對近期CPU重大設計缺陷的分析、看法與建議「，確認華夏芯的CPU免疫當前所有設計缺陷相關的攻擊程序，因此也不需要採取任何犧牲性能換取安全的舉措。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！