Manfred Kloiber: Sicherheitslücken gibt es nicht nur in der Software, zum Beispiel bei Betriebssystemen oder Textverarbeitungsprogrammen, sondern auch in der Hardware. Bekannt sind solche Sicherheitslücken seit den 70er-Jahren. Seit Anfang des Jahres wird nun intensiv über drei solcher Lücken, nämlich Foreshadow, Meltdown und Spectre diskutiert. So auch auf dem Hardware-Symposium Hot Chips in Cupertino in dieser Woche. Welche Ideen hatten denn die Computerwissenschaftler dort, um Hardware-Sicherheitslücken zu vermeiden, Peter Welchering?
Peter Welchering: Da gibt es zwei ganz grundlegende Methoden: Entweder werden zusätzliche Sicherheitsabfragen beim Aufruf von hardwarenahen Maschinenbefehlen eingeführt oder die Entwickler verzichten weitgehend auf den sogenannten spekulativen Modus.
Manfred Kloiber: Im sogenannten spekulativen Modus werden ja die nächsten Rechenschritte schon prognostiziert, um entsprechend Arbeitsspeicher und Adressen bereitstellen zu können, damit die schneller ablaufen. Wenn darauf verzichtet wird, bremst das die Maschinen aber ganz schön aus, oder?
Peter Welchering: Die Hardwareentwickler gehen in einem solchen Fall von einem Leistungsverlust von mehr als 30 Prozent aus. Deshalb kann eigentlich kein Prozessorhersteller auf den spekulativen Modus verzichten. Zusätzliche Sicherheitsabfragen kosten aber auch Leistung. Da gehen die Entwickler auch von 15 bis 20 Prozent Leistungsabfall aus. Und der Schlachtruf "Schluss mit den aggressiven Optimierungen", der im Januar zu hören war, als über Meltdown und Spectre auf allen Medienkanälen berichtet wurde, der bringt die Entwickler da auch nicht weiter. Deshalb lautet ihr Vorschlag: Bestehende Sicherheitslücken bei den eingesetzten Prozessoren schließen, und bei einer neuen Prozessorgeneration stärker mit zertifizierten Abfragen von Betriebssystemroutinen an Maschinen-Befehlssätze arbeiten. Und Prozessoren verteilt arbeiten lassen zwischen einem sicheren Modus, der langsamer ist, und einem spekulativen Modus, der hohe Leistung bringt.
Getrennte Prozessorkerne für sicherheitskritische und für Routine-Berechnungen
Manfred Kloiber: Wie könnte solch eine Arbeit in verteilten Modi aussehen?
Peter Welchering: Da gibt es im Wesentlichen auch zwei Ansätze: Der erste Ansatz sieht vor, von einer Sicherheitssoftware berechnen zu lassen, wie sicherheitskritisch bestimmte Rechenoperationen sind. Die sicherheitskritischen Prozesse werden dann nur im sicheren Modus berechnet. Nicht so sicherheitskritische Prozesse werden im spekulativen Modus berechnet. Der zweite Ansatz geht da ein Stück weiter und sagt: Wir bauen einfach Prozessoren mit unterschiedlichen Kernen. Die einen laufen immer im spekulativen Modus, die anderen immer im sicheren Modus. Dann entscheidet eine Organisationssoftware, ob ein Prozess an die Kerne im spekulativen oder im sicheren Modus geht.
Manfred Kloiber: Welche zusätzlichen Sicherheitsabfragen schlagen die Computerwissenschaftler noch vor?
Peter Welchering: Da wollen sie sicherstellen, dass kein Stück Anwendungssoftware mehr direkt Maschinenbefehle aufrufen kann. Wenn ein Maschinenbefehl von einer Anwendungssoftware benötigt wird, dann gibt die Anwendungssoftware diesen Aufruf an die entsprechende Betriebssystemroutine weiter, und die Betriebssystemroutine ruft dann den Maschinenbefehl auf und stellt ihn zur Verfügung. Beide Aufrufe sind durch Zertifikate abgesichert. Die Anwendungssoftware muss bei ihrer Installation die Berechtigung bekommen, Anfragen an Maschinenbefehle an das Betriebssystem stellen zu dürfen. Die Betriebssystemroutinen müssen eine ständig überprüfte Berechtigung haben, einen Maschinenbefehl aufrufen zu dürfen. Dadurch würde die Schadsoftware, die wir Hardware-Trojaner nennen, weitgehend funktionslos.
Neue Hardware-Designvorschläge dürften rasch umgesetzt werden
Manfred Kloiber: Sind das nur akademische Überlegungen oder greifen die Prozessorhersteller die auch auf?
Peter Welchering: Die Prozessorhersteller brauchen ganz dringend eine Lösung, um die Hardware-Sicherheitslücken schließen zu können. Noch nie sind Vorschläge von Computerwissenschaftlern in diesem Bereich so ernsthaft von den Industriemanagern geprüft worden. Wir dürfen den öffentlichen Druck nicht unterschätzen, der durch die Diskussion über Meltdown und Spectre entstanden ist. Was auf dem Hot-Chips-Symposium an Vorschlägen für neue Prozessordesigns diskutiert wurde, dürfte sehr rasch in der Chipproduktion umgesetzt werden.
