Názory k článku Čekají nás zase bezpečnostní díry v CPU. Intel pod embargem řeší osm nových chyb

No, tak ted uz je snad jasny, ze odsun 10nm CannonLake na 2019 nema s "kvalitou" vyroby nic spolecnyho.

Vypadá to že letos na 8. Generaci asi nemá smysl přecházet jelikož další chyby další zpomalení a nevím jak je na tom AMD ale Intel to pěkně se*e. Možná přejdu na nové AMD aspoň si po letech co jsem měl naposledy Phenom II x4 965 vyzkouším něco nového.

Spravci a provozovatele serverovych cloudu a firemnich siti musi mit radost..
Zajimave bude sledovat, jak to postihuje AMD. Pokud vyrazneji mene, jako doposud, mohlo by jim to pomoct prorazit rychleji v serverove oblasti.

Tohle bude renesance In-Order Atomů

Čas koupit popcorn a připravit se na pravidelný přísun článků popisujících katastrofické scénáře.

Dírách? Podle Intelu je Meltdown žádoucí vlastnost, nikoli díra.

Is this a bug in Intel hardware or procesor design?
No. This is not a bug or a flaw in Intel products. These new exploits leverage data about the proper operation of processing techniques common to modern computing platforms, potentially compromising security even though a system is operating exactly as it is designed to. Based on the analysis to date, many types of computing devices - with many different vendors' processors and operating systems - are susceptible to these exploits.

https://i.redd.it/npelxu832k801.png

Nějak to Intelu za zlé nemám, tohle se myslím dalo čekat. Odhalit chyby založené na využití postranních kanálů (pokud to bude i tento případ) je velmi obtížné a vyvarovat se jich také. Dnes všichni machrují a prskají, jak je Intel neschopný, ale tohle jsou chyby návrhů z doby, kdy se o takovýchto typech útoků pomalu ani neuvažovalo.

Slovami klasika : Já bych všechny ty internety a počítače zakázala :D

Ak nejake z tychto chyb budu potvrdene aj pre AMD tak to do dalsej generacie urcite nestihnu opravit na HW urovni,

To dost pochybuji. Intel tam ma skluz oproti puvodnimu planu uz par let.

Jestli to chapu spravne, tak to umoznuje cist z pameti prirazene jinemu procesu. Tudiz by se to mohlo pouzit pro "vycteni" napr. sifrovacich klicu?

Nebude. In-order atomum zase vyhniva kremik ridici I/O. Intel uz s tim ma dost problemu, protoze hodne jich bezi v embedded vecech kde se ocekava vyssi vydrz/delsi zivotnost zarizeni a ono oha. Takze na in-order Atom bych si nevsadil. Mozna tak na ThunderX a nebo cortex-a53.

Je to tak, o to zajímavější by byla částačná "přeprogramovatelnost" procesoru, jen by to asi neběhalo tak svižně. Myslím že spousta výzkumníků si teď hraje se simulacemi a hledá díry, což se roky a roky nedělo. Ono v roce 2002 (kde započal asi největší rozmach IT/HW/internetu) se na nějaké šifrování nehrálo, stejně jako na potencionální útoky a plošné sledování pomocí elektroniky. Pokud vezmeme vývoj HW (tedy dejme tomu dobu strojů z období 80386 platforem), tak se bezpečnost začala řešit poněkud více až v posledních 10 letech, proti dejme tomu 30 letech "rychlého" vývoje hlavně s tendencí posouvat výkon dál a dál.

Což podle mě v případě vývoje CPU způsobí (pokud se opravdu výrobci zaměří na ladění HW "problémů") delší období přešlapování z místa na místo a stagnaci růstu rychlosti/IPC. V současné době ještě k nějakému posunu dochází (AMD vyvinulo Zen po spoustě let bezvětří, intel na tom pravděpodobně začal pracovat před rokem a něco). Výkon příliš neroste, s frekvencí už hýbat v rámci výrobního procesu také moc nejde, spotřeba se nám šponuje vysoko a TDP které dříve odpovídalo i přiblizně maximu co si CPU cuclo, tak je dnes mimo realitu. No a přidávání jader sice je řešením, ale už se taky naráží na strop, a to jak fyzických rozměrů monobloku (u intelu), tak i vysoké spotřeby takového systému. Bude sranda :)

Moc zkušeností s tím nemáte, že?

1) Je to TPM (Trusted Platform Module), nikoli TMP.
2) Ano, existuje TPM owner password - je to z toho důvodu, že čip v sobě uchovává hesla a tato hesla má dát jenom tomu, kdo se prokáže příslušným owner password a to jen při zachování platformy (tj. vyndáte TPM z motherboardu a přesunete ho do jiného motherboardu -> údaje nepůjdou vyndat ani se znalostí TPM owner password).
3) Běžnému uživateli je TPM owner password k ničemu, protože ho nikdy osobně nepoužívá. Toto heslo by uživateli bylo typicky jen k tomu, aby mohl převést vlastnictví TPM čipu (přendat ho na jinou hardwarovou konfiguraci). To se běžně neděje, protože typicky se v takovém případě čip maže (viz bod 4)).
4) Z důvodu bod 3) si Windows volí TPM owner password samo. Jediné, co je k tomu potřeba, je aby čip byl ve stavu "cleared" - tj. připraven pro převzetí vlastnictví. Pokud už ho vlastní jiná instalace OS, čip neumožní převzít svoje vlastnictví do doby resetu / zadání hesla (... které uživatel nezná).
5) Poslední Windows OS, který umožňoval volit TPM owner password, byly tuším Windows Vista. Všechny novější postupují dle bod 4).
6) Do TPM čipu se typicky ukládá šifrovací klíč pro celodiskové šifrování BitLocker na partitions s operačním systémem. Není to sice vysloveně podmínka, lze také použít např. flashku nebo číselný kód, ale na systémech s TPM je to běžné chování. Disk nelze odemknout jinak než vytažením šifrovacího klíče z TPM, což umí jen OS znající owner password a pracující na hardwarové platformě, na které byl nainstalován (případně je samozřejmě bez TPM možné použít recovery key).
7) Pokud vymažete TPM (resetujete ho) a nemáte zapnutý BitLocker na OS partition a čip nepoužívá nějaká jiná aplikace (jinou běžnou takovou neznám), k žádné ztrátě dat nedojde.

Dekuji Hnizdo, ja jsem opravdu netusil, ze spravci provadeji aktualizace software, atd. Jeste, ze jsi mi to vysvetlil. Ted je mi taky teprve jasne, ze chyby na HW urovni jsou nejsou vubec zajimave... ;)

Ako ktory. Do ruk sa mi dostal az jeden repasovany notebook, ktory mal najnovsi BIOS. Zvysok od switchov, routrov, PC, notobookov, RAID radicov, sietovych kariet, az po servre mal stare BIOSy a firmwary. Vsetko to boli znackove zariadenia, ktore este nedavno bezali v produkcii v roznych firmach.

Bingo! Takze sup na AWS a pojdme tezit. :-)

To je dost zajimavy bod. Ono se ukazuje, ze tam, kde to intelu nesedi "na miru", tak rozdily v IPC na stejne frekvenci jsou u programech minimalni. V MT aplikacich, Ryzen dokonce nekdy i vede. Viz test na 4Ghz
https://www.techspot.com/article/1616-4ghz-ryzen-2nd-gen-vs-core-8th-gen/

CB15: ST vykon ma Intel vetsi o pouhych 3,5%
CB15: MT vykon ma lepsi AMD o 4% (mereno vuci 2600x)
PCMark10 - MT content creation: rozdil Intel vs AMD 0%
PCMark10:- MT gaming score physics: AMD je lepsi o 8% nez Intel
Excel 2016 MT: rozdil 0%
Corona 1.3 MT: rozdil 3% ve prospech Intelu
Blender MT: rozdil 4% ve prospech Intelu
V-Ray MT: rozdil 1% (v ramci stat. chyby)
Rozdily v IPC a v MT IPC jsou minimalni. Nekde Intel, jinde AMD.
Hry, tam to vychazi lip Intelu o par procent, mezi 2,5%-8,5%. Coz ale neni zadna slava vzhledem k tomu, jaky Intel mel kdysi naskok a v praxi je to nepoznatelne. A to kdo vi, jak by to vypadalo, kdyby to mereni bylo delane s pametmi s upravenym low timingem.
V soucasnosti Intelu zbyvaji jen ty o neco vyssi frekvence. Jeho "technologicka" (ne vyrobni proces) dominance je de-facto pryc.

Edit: U her to u 2600x vychazi 8%-14% pro Intel :)