发布于:2018/1/16 10:48:52 | 391 次阅读
“门”事件爆发以来,社会的关注不断扩大,其问题已经不仅是几家公司是否存在“不做为”嫌疑,而是关系到现代社会对于信息安全的保障。集成电路产业在其中应当承担起应有的社会责任。
近年来,中国大力发展集成电路产业,目的之一就是确保国家信息的安全可控。借鉴这一事件,中国的CPU企业在发展过程中,应当如何避免类似的事件发生?《中国电子报》采访了清华大学微电子研究所所长教授。
漏洞影响将长期存在,目前态度仍过于乐观
记者:“CPU漏洞门”事件不断扩大。有观点认为,此事件已经堪比十几年前IT业界遭遇的“千年虫”危机。对此事件,你如何评价?
魏少军:此次发生的“CPU漏洞门”事件涉及的两个漏洞“熔断(Meltdown)”和“幽灵(Spectre)”与之前发生的类似事件有很大不同,具体来说,有如下几个特点。
一是涉及面很宽。根据报道,不仅英特尔的CPU中招,AMD、IBM,甚至ARM也承认其CPU产品也存在类似风险;
二是漏洞源自CPU本身的架构和指令执行机理缺陷。现在看来,之前为了提升CPU性能所采取的一些技术,如分支预测、乱序执行、超标量和高速缓存等,是导致这两个漏洞出现的根本原因。这与我们经常谈的“硬件木马”有根本的不同;
三是影响非常深远。对现有的国际玩家而言,要消除已经出货的数十亿颗CPU存在的漏洞问题几乎是不可能的事情,不仅要付出巨大代价,还需要很长的时间;
四是解决的难度很大。由于这种漏洞出现在硬件上,而且是CPU架构和指令执行机理所造成的,无法简单地打补丁。通过软件进行修复又会使CPU性能受到不同程度的影响。相关说法表明会有5%~30%不等的性能损失。更为可怕的是,是否可以彻底修复仍然未知;
五是对这个行业的其他人的影响不可忽视。根据现有知识,凡是在CPU设计中采用的了分支预测、乱序执行、超标量和高速缓存技术的,大概都会碰到同样的问题,产品也都存在留有类似漏洞的风险。
至于评价,此次事件应该引起我们的高度重视。这类由于架构和指令执行机理缺陷引发的漏洞,通常很难发现;且由于涉及硬件,也很难修改。一旦发生,影响面会非常宽,也会持续很长时间。
从目前的情况来看,虽然没有证据表明这两个漏洞是处理器厂商有意为之,或者是他们在设计之初就已知晓此事,但由于利用这两个漏洞的门槛不高,也很难断言在这两个漏洞大规模公开前没有被恶意利用过,也就无从知晓已经造成了多大的损失。
记者:长期来看,这一事件将对行业带来哪些影响?
魏少军:所谓漏洞是软硬系统本身存在的技术缺陷,可以让攻击者在未获授权的情况下访问或破坏系统。漏洞有两个特点,一是不可避免,二是难以修复。以这次的“熔断”和“幽灵”漏洞为例,所有应用了乱序执行、分支预测、超标量和高速缓存等技术的CPU几乎都无一例外存在这两个漏洞。针对这两个漏洞的修复,大多数人或许都太过于乐观了。不少人认为微软等操作系统厂商能够通过打补丁来修复,最坏不过是引起CPU性能的下降。
而实际上,操作系统厂商提供的软件补丁不过是部分解决了用户态软件利用该漏洞获取操作系统内存信息的问题,并未杜绝这两种漏洞被恶意利用的可能。即使打了操作系统补丁,别有用心的黑客仍旧可以利用该漏洞获取用户不被允许访问的数据。说的更直接一些,操作系统厂商不过是通过打补丁的方式来撇清自己跟这两个漏洞的关系而已,并没有也不可能消除这些漏洞。事实上,骇客能否通过其他方式绕过操作系统来利用这两个漏洞,已不是他们关心的事了。这两个漏洞在现代主流的CPU里,以前存在、现在存在、恐怕今后还将存在,无论是操作系统软件厂商还是处理器硬件厂商都没有办法进行修复。
从长远来看,这此漏洞暴露事件将会对主流CPU性能的提升产生一定阻碍。主流的设计厂商在未来的微架构中可能会因为顾忌安全性而更趋于保守。但我们认为,这种影响对于信息技术的长远发展是有利的,只有安全的信息化产品才能够更好服务于人民的生活。
2018年或可定义为硬件安全元年
记者:中国CPU企业是否也将会受到两个漏洞的波及?
魏少军:目前还不是很清楚我国CPU企业是否也受到这两个漏洞的波及,因为到目前为止,还没有国内企业承认自己的产品存在类似的漏洞。这有可能是根本就不清楚自己是否被波及到了,也有可能是知道了不说,但更可能是在产品设计中还没有采用乱序执行和分支预测等技术。
这可以让我们从侧面探窥国产CPU产品性能之所以远远落后国际同行的原因。当然,我们非常希望看到,国内企业采用了乱序执行和分支预测等技术但又规避了前述漏洞。如果真的做到这一点,也说明国产CPU在设计技术上有了巨大的突破。
记者:国家大力投入发展集成电路产业,一个主要的目的就是保障信息安全。借鉴这一事件,中国CPU企业在发展过程中,应当如何避免类似的事件发生?
魏少军:这两个漏洞的影响之深远程度可能需要更长的时间来观察,但是毋庸置疑的是,这是次硬件安全问题从学术层面走进大众视野。虽然我们不愿意承认,但是随着信息系统硬件设计的日趋复杂,现代芯片动辄上百亿颗晶体管,类似的芯片漏洞、前门、后门,甚至硬件木马(恶意硬件)等将会更大规模的影响信息系统的硬件安全,进而影响软件安全,影响系统安全。因此,完全可以把2018年定义为硬件安全的元年。
这次“熔断”和“幽灵”漏洞暴露后,有两件事情非常值得我们深思。,为什么这次发现漏洞的不是传统从事信息安全的机构?第二,到目前为止似乎也没有从事信息安全的机构能拿出有效的解决方案。这是否说明,在信息安全的发展思路上也出现了“漏洞”?
长久以来,我国在保障计算机信息安全上做了大量的工作,也取得了不少的成绩。但总的来说还未摆脱被动应对的局面,对暴露出来问题也大多是后知后验。计算机信息安全工作主要停留在查毒杀毒等被动防御层面,很少去考虑主动防御,在主动防御上建树不多。我国一些从事CPU研发的单位和企业寄希望于采取行政手段或通过制定标准规范来达到目的。显然,在本次“熔断”和“幽灵”漏洞面前,这些手段和方法都显得十分苍白无力。这次“CPU漏洞门”事件提醒我们:现在是时候扭转一下发展思路了,要变“被动防御”为“主动防御”。
要想做到真正的安全可控,关键还是要掌握技术。没有技术的支撑,按照别人的思路和架构去发展,很难逃开与别人一样的结局。这次“熔断”和“幽灵”漏洞事件给了所有从事CPU研发的人一个重新审视自己工作的机会。中国的CPU发展由于发展水平不高,有可能侥幸绕过了“熔断”和“幽灵”的影响,但不等于今后就可以高枕无忧。我们的CPU企业应该在基础技术上继续追赶的同时,在架构创新上有所作为。
另外,还需要强调的一点是,我们还可以抓住这次事件的机遇,转危为机。本次“熔断”和“幽灵”暴露出的硬件漏洞,短期内可以通过软件补丁在一段时间内缓解,但长远看还是要通过更换硬件才能够解决。显然,我们需要回答几个问题,,软件补丁到底会对CPU的性能带来多大的影响?第二,如何防止骇客再利用这些漏洞,毕竟这些漏洞现在成为了公开的秘密,也就是“潘多拉的盒子”已经打开了,只靠软件是否能够彻底防护住?第三,新的CPU产品如何能够彻底避免此类架构和运行机制上的漏洞?
尤以第二个问题最为严重,寻求明确的答案也最为紧迫。很不幸的是,答案很可能是否定的。在这三个问题上,我国企业与国外企业处在同一起跑线上,如果抓住机遇,有可能实现国产CPU的大幅度进步。例如,国内近年来在芯片领域已经有了不少的进步,特别是在“可重构计算—软件定义芯片”技术上国际同行,引起的高度关注。利用这一技术所实现的CPU外部特性实时监控技术,可以检出和复现“熔断”和“幽灵”类似的非法操作,并与软件配合随时监控可能插入的、企图利用这些漏洞盗取数据的潜在行为。因此,我国CPU企业应该充分利用这次事件赢取发展先机,实现国产CPU的大踏步前进。
近年来智能网联汽车快速发展,新技术不断涌现,与相关产业融合度持续提升,正在推动全球汽车产业发生深刻变革。为应对此种形势,欧、美、日等汽车工业发达国家和地区都加大了智能网联汽车的国际标准法规协调的参与力度,在联合国世界车辆法规论坛(UN/WP.29)和国际标准化组织(ISO)层面,智能网联汽车相关国际标准法规协调活动正快速推进。 为更有效地支撑上述组织的国际标准法规协调活动,2017年全国汽车标准
0215jiejie
|
发布于:2022-12-01
0评论
0赞
据苹果官网,苹果推出搭载M2芯片的新款iPadPro。 11英寸wifi版起售价为799美元,wifi+蜂窝网络版起售价为999美元;12.9英寸wifi版起售价为1099美元,wifi+蜂窝网络版起售价为1299美元。
0215jiejie
|
发布于:2022-10-19
0评论
0赞
全球五大车展之一巴黎车展时隔四年再度启幕。在这场被视为“全球汽车行业风向标”的盛会上,国内外汽车品牌云集,长城汽车、比亚迪等再次领衔中国汽车出海。 长城汽车欧洲区域总裁孟祥军表示:“欧洲是长城汽车最重要的海外市场之一,巴黎车展是长城汽车向欧洲市场展示GWM品牌和产品的最佳机会。长城汽车正在研究汽车行业碳排放的整个生命周期,到2025年,将推出50多款新能源产品,全力支持可再生能源使用,为全球用户
0215jiejie
|
发布于:2022-10-19
0评论
0赞
针对通配烟弹厂商的一系列诉讼的结果,将对生产通配烟弹的品牌未来在电子烟行业的发展产生深远影响。 10月1日,《电子烟强制性国家标准》正式实施,中国电子烟监管全面生效。而在电子烟行业进入规范化、法治化阶段前夕,一场围绕着通配烟弹的争论在行业里发酵。 “通配”是电子烟从业者约定俗成的概念。换弹式电子烟由烟杆和烟弹组成,“通配”烟弹指的是非品牌商生产、可与品牌烟杆匹配使用的烟弹。多位业内人士表示,被
0215jiejie
|
发布于:2022-10-19
0评论
0赞
采用金属感应引脚,专用于大电流应用中进行精确测量 全新分流电阻器专为电池管理系统、大电流工业控制和电动汽车充电站 提供高可靠性、高成本效益的解决方案 美国柏恩Bourns全球知名电子组件领导制造供货商,宣布新增12款CSM2F系列功率分流电阻器,扩展其产品组合。全新系列采用铆接通孔金属传感引脚,可满足大电流应用中对电压测试点精确定位日益增长的需求。最新型Bourns?CSM2F系列分流电阻器
0215jiejie
|
发布于:2022-10-18
0评论
0赞
元宇宙是个筐,啥都往里装,但区别在于有的像聚宝盆,有的像垃圾桶。国庆假期刚结束,中青宝“90后”董事长李逸伦便亲自上阵,玩起了元宇宙婚礼。靠着老板首秀和代言,中青宝顺势推出“MetaLove元囍”App,正式进军元宇宙婚礼赛道。 就产品而言,如同其他元宇宙产品,李逸伦的元宇宙婚礼“新奇与吐槽齐飞”:有人说是有趣的尝试,有人则认为像QQ炫舞结婚系统。要知道,QQ炫舞是一款推出了十余年的老游戏。
0215jiejie
|
发布于:2022-10-13
0评论
0赞
截至8月末,中国5G基站总数达210.2万个,中国5G发展已经进入下半场。随着5G加速融入千行百业,互动直播、vCDN、安防监控等场景率先大规模落地,车联网、云游戏、工业互联网、智慧园区、智慧物流等场景也快速走向成熟,这些更大流量、更低时延、更高性能的场景涌现,对边缘计算的刚性需求势必爆发。 GrandViewResearch预测,即使在新型冠状病毒肺炎疫情肆虐全球的背景下,边缘计算和5G网络市
0215jiejie
|
发布于:2022-10-13
0评论
0赞
商务部回应美商务部升级半导体等领域对华出口管制并调整出口管制“未经验证清单”
商务部新闻发言人10日就美商务部升级半导体等领域对华出口管制并调整出口管制“未经验证清单”应询答记者问。 有记者问:近日,美国商务部在半导体制造和先进计算等领域对华升级出口管制措施。同时,在将9家中国实体移出“未经验证清单”过程中,又将31家中国实体列入,请问中方对此有何回应? 对此,商务部新闻发言人回应称,中方注意到相关情况。首先,通过中美双方前一阶段共同努力,9家中国实体zui终
0215jiejie
|
发布于:2022-10-13
0评论
0赞
今年1月,奔驰带来了VISIONEQSS概念车,其中控台采用了一块完全无缝的47.5英寸曲面显示屏,横贯整个A柱,令人印象深刻。今天,TCL华星正式官宣与奔驰达成合作,并认领了VISIONEQSS上这块全球首款横贯整个A柱曲面的车载显示屏。 根据TCL介绍,这款显示屏采用了完全无缝的超薄一体化设计,将仪表盘、中控与副驾娱乐显示融为一体,并能够与3D实时导航系统相辅相成。 同时,这块显示屏还采用
0215jiejie
|
发布于:2022-10-12
0评论
0赞
国庆假期后首日开盘,上证综指时隔5个月再次失守3000点,与此同时,半导体板块也再度走低,其中,北方华创、雅克科技等个股跌停。10月11日早盘期间,半导体板块持续下挫,北方华创、雅克科技再度跌停。截至下午收盘,北方华创、雅克科技维持跌停状态,华海清科、拓荆科技-U、盛美上海、清溢光电、海光信息的跌幅则超10%。同日,半导体板块中的119只个股中超五成呈现下跌趋势。 在半导体板块遭遇下挫的同时,北
0215jiejie
|
发布于:2022-10-12
0评论
0赞
//评论区