Security 为什么CPU推测性执行不会导致OOB程序崩溃?
这些问题源于阅读文章。如果我理解正确,攻击源于CPU启发式推测性地执行(错误的)代码分支的可能性。 考虑这个例子(在C中):Security 为什么CPU推测性执行不会导致OOB程序崩溃?,security,memory,cpu,Security,Memory,Cpu,这些问题源于阅读文章。如果我理解正确,攻击源于CPU启发式推测性地执行(错误的)代码分支的可能性。 考虑这个例子(在C中): int-arr[42]; 如果(i=42,也可以(在某些情况下)推测性地执行int j=arr[I]。我的问题是——当我访问超出其边界的数组时,我的程序经常会崩溃(在Linux上是分段错误,在Windows上是“程序执行了非法操作”错误) 为什么在数组越界访问的情况下,推测性执行不会导致程序崩溃?关键是,在现代CPU中,动词executing并不是您所认为的意思 执行指令
int-arr[42];
如果(i<42){
int j=arr[i];
}
I>=42int j=arr[I]为什么在数组越界访问的情况下,推测性执行不会导致程序崩溃?关键是,在现代CPU中,动词executing并不是您所认为的意思 执行指令是计算其输出和副作用(如果有)的行为。
但是,这不会改变程序状态。
这一点一开始似乎很难理解,但实际上并没有什么异国情调 CPU有一个相当大的内存,由它的所有寄存器组成,大部分内存对程序员来说是不可见的,这部分内存被称为架构状态。
体系结构状态(AS)是CPU手册中记录的状态,以及由一系列指令(例如程序)更改的状态 由于更改AS只能在ISA(手册)中给出的语义下发生,并且ISA指定了串行语义(指令按照程序顺序一个接一个地完成),因此不允许并行性。
然而,现代CPU有很多资源(称为执行单元)可以独立完成工作 为了利用所有这些资源,CPU的前端(负责从内存层次结构读取指令并将其提供给执行单元的部分)能够达到、解码和输出每个周期一条以上的指令。
前端和后端(执行单元所在的位置)之间的边界不再真正处理指令(而是处理UOP),但这是x86 CISC的麻烦 因此,现在CPU一次只能“执行”4/6个UOP,但如果ISA是串行的,除了排队等待这些UOP,它还能做什么呢?
前端的设计使这些UOP不在AS上运行,而是在阴影状态下运行(SS,我这里的术语),它们的操作数被重命名,由CPU的一部分大的不可见内存组成。
平行或无序地更改是可以的,因为它不是as。
这就是执行的意义:改变SS 真的值得吗?毕竟,最重要的是这个问题。
嗯,与执行相比,将SS传输到AS的速度非常快,因此值得。
这是一个“重新命名回”(与之前的重命名相反)的问题,称为指令的重新命名 事实上,退休比这更重要。
由于执行不会影响AS,因此副作用也不会影响AS。
这些副作用包括异常,但推测性地处理异常太麻烦(需要协调大量资源),因此异常处理延迟到退役。
这还有一个优点,即在处理异常时具有正确的异常,并且只有在必须实际处理异常时才引发异常 推测性执行的目的是打赌,CPU打赌指令序列不会产生任何异常(包括页面错误),因此在大多数检查关闭的情况下执行它(我无法排除,在我的头脑中,一些检查是不进行的),从而获得很多优势。
当这些指令失效时,将检查下注,如果任何下注失败,将丢弃SS 这就是为什么推测执行不会使程序崩溃 Spectre所依赖的事实是,在某种意义上,推测性执行确实会改变AS:缓存不会失效(同样出于性能原因,下注时SS不会被复制到AS中),并且计时攻击是可能的。
这可以通过多种方式进行纠正,包括在从TLB读取时执行基本权限检查(在所有仅使用权限0和3之后,因此逻辑很简单)或向缓存线添加一位以将其标记为推测性(被非推测性代码视为无效).只要不影响程序的正确性,就允许推测执行。最好不要产生任何副作用(cfr.幽灵攻击),但这是允许的。因此,异常是在退休时处理的,因此它们1)不是推测性的2)顺序正确。推测性地访问阵列不会使程序崩溃,除非CPU能够在适当的时间将推测转化为确定。
int arr[42];
if (i < 42) {
int j = arr[i];
}