英特爾終于提高了其CPU安全性

英特爾承諾將在其處理器中采用全內存加密，這是本周在公司安全日活動上的一次啟示。該功能類似于AMD已經在其CPU上提供的功能，盡管它不一定使Intel的芯片不像Spectre和Meltdown那樣容易受到旁道攻擊。

這些類型的利用利用了處理器采用的各種技術中的漏洞，包括亂序執行(OOOE)，分支預測和推測性執行，所有這些設計都旨在提高性能。我們發布了一份詳盡的指南，介紹了有關Meltdown和Spectre CPU漏洞的了解，如果尚未了解，則應進行檢查。

內存加密可以幫助解決這類攻擊，但是正如我們在Tom's Hardware的朋友所指出的那樣，研究人員警告(PDF)，這不足以完全阻止旁道攻擊。但是，它并非沒有好處。英特爾保護其芯片免受攻擊的一種方法是通過一項名為Software Guard eXtensions(SGX)的功能。SGX在企業和消費者處理器中均可用，是一種硬件加密技術，可充當內存部分中的“安全區域”，但僅用于少量數據。

Arstechnica提供了詳盡的技術細節，但是總而言之，SGX有一些限制-它只能在Intel處理器上運行，開發人員必須設計其應用程序以專門利用SGX，并且開發人員還必須選擇標記了“機密”，因為它們只能使用128MB的內存限制。

相反，AMD的安全內存加密(SME)和安全加密虛擬化(SEV)功能更加靈活。可以使用SME加密所有系統RAM，而無需對應用程序開發人員施加任何特殊考慮。AMD的實施不僅比SGX更靈活，而且對性能的影響也較小。

英特爾正在尋求通過稱為總內存加密(TME)和多鍵總內存加密(MKTME)的一對功能來糾正這一問題。據英特爾稱，TME和MKTME尚不存在于實際的CPU硬件中，但在某些時候會存在。

盡管在安全日活動中沒有特別提及，但這是要為AMD的處理器帶來平價，甚至可能超越AMD的保護內存的方法。當它們到達時，它們將支持對常規內存，易失性DRAM和永久性/非易失性內存(例如3D Xpoint)進行加密。

現在說這對消費者意味著什么還為時過早，而且聽起來不像即將推出的CPU(例如Comet Lake)將可使用它。不過，這絕對是我們會一直關注的事情。