Intel CEO科再奇近日宣布，過去五年發(fā)布的Intel處理器已經(jīng)全部修復(fù)了Spectre幽靈漏洞的第一個(gè)變種，而在下一代處理器中將重新設(shè)計(jì)硬件，完全免疫幽靈漏洞第二個(gè)變種和Meltdown熔斷漏洞,。

作為全球x86處理器市場的龍頭老大，Intel面臨如此嚴(yán)重的漏洞危機(jī),，到底是如何應(yīng)對解決的,？幕后又有哪些鮮為人知的故事呢？

《財(cái)富》雜志近日特意撰文,，從另外一個(gè)視角解讀了這次漏洞事件,，標(biāo)題“How Intel Is Moving From Software Fixes to Hardware Redesigns to Combat Spectre and Meltdown”（Intel在應(yīng)對“幽靈”和“熔斷”漏洞時(shí)，如何把策略從軟件修復(fù)轉(zhuǎn)變?yōu)橹匦略O(shè)計(jì)硬件）,。

原文編譯如下：

幾個(gè)星期前,，在芯片制造商Intel工作了20年的資深高管Ronak Singhal正準(zhǔn)備前往他在以色列最喜歡的餐廳Helena就餐，但在他前往這個(gè)位于海法南部地中海岸邊的高級餐廳,，與同事們一起慶祝升職之前,，他不得不向公司的一個(gè)軟件合作伙伴解釋，Intel如何為 “幽靈”和“熔斷”安全問題打補(bǔ)丁,。

當(dāng)晚,，負(fù)責(zé)Intel所有處理器架構(gòu)開發(fā)的Singhal要面對的問題是：補(bǔ)丁出了問題。

在全世界運(yùn)行Intel CPU的數(shù)百萬臺(tái)電腦中,，“幽靈”的一個(gè)補(bǔ)丁會(huì)導(dǎo)致某些計(jì)算機(jī)死機(jī)或自動(dòng)重啟,。雖然這只影響了一小部分市場，但已經(jīng)蔓延到足以讓PC制造商驚慌失措的程度,，他們立即暫時(shí)召回了更新后的軟件,。

Linux之父Linus Torvalds甚至被氣得公開宣布Intel的工作“是垃圾”。

Singhal解釋說,，補(bǔ)丁使用了一些Intel以前從未在其軟件中使用過的技術(shù),，有些情況下并沒有達(dá)到預(yù)期的效果。

他花了一個(gè)多小時(shí)才打消了承包商的擔(dān)憂——Singhal的同事們遲遲等不到他,，就先吃飯了,。

“他們還為我迷路了或者被綁架了?！彼蚤_玩笑的口吻回憶起這件事,。

他最后確實(shí)參加了聚會(huì)，吃了一盤Helena餐廳的招牌魷魚,。

幾周后,，Intel發(fā)布了修正補(bǔ)丁,，從那時(shí)起，針對計(jì)算史上最嚴(yán)重安全事件之一的修復(fù)工作進(jìn)展順利,。北京時(shí)間3月15日深夜,，Intel宣布已為過去5年所生產(chǎn)的所有芯片全面部署了補(bǔ)丁。

對Singhal來說,，下一步就是把修復(fù)措施直接嵌入即將發(fā)布的處理器硬件中,，而改進(jìn)后的硬件設(shè)計(jì)將為今年下半年發(fā)布的第八代酷睿處理器，以及有望在第四季度推出的代號為“Cascade Lake”的至強(qiáng)服務(wù)器芯片做好準(zhǔn)備,。

Singhal說：“把保護(hù)措施植入硬件,，這消除了軟件補(bǔ)丁對性能的巨大影響?！?/p>

Intel CEO科再奇告訴《財(cái)富》雜志：“我們的第一套軟件防御措施已經(jīng)發(fā)揮作用了,。我們已經(jīng)完成了對最近5年和最新發(fā)布產(chǎn)品的修復(fù)。現(xiàn)在開始實(shí)施硬件防御措施,，后者將植入我們的芯片內(nèi),。”

“幽靈”和“熔斷”的變體1,、2,、3

這些嚴(yán)重的安全漏洞存在于Intel及其競爭對手在過去幾十年制造的幾乎所有芯片中。去年夏天剛發(fā)現(xiàn)的時(shí)候,，這些漏洞并不起眼,。

Google一個(gè)特別安全漏洞研究團(tuán)隊(duì)的研究人員在去年6月向Intel安全部門通報(bào)說，他們在CPU設(shè)計(jì)的關(guān)鍵部分發(fā)現(xiàn)了一個(gè)問題,。

現(xiàn)代芯片通常有很多空閑的處理能力,，因此，程序在早期步驟執(zhí)行完畢之前,，會(huì)計(jì)算幾個(gè)解決問題的選項(xiàng),，這是情理之中的事。這種被稱為預(yù)測執(zhí)行的性能增長策略隨后會(huì)丟棄不符合早期步驟執(zhí)行結(jié)果的答案,。

但是,，Google研究人員，以及隨后的幾個(gè)學(xué)術(shù)界團(tuán)隊(duì),，都發(fā)現(xiàn)了欺騙芯片,、使其泄露密碼和加密密鑰等數(shù)據(jù)的方式，因?yàn)轭A(yù)測執(zhí)行計(jì)算使用了這些數(shù)據(jù),。

研究人員把這種欺騙方法的其中兩個(gè)變體稱為“幽靈”,，這是《007》電影中與詹姆斯·邦德對抗的邪惡組織的名稱，并把第三個(gè)變體稱為“熔斷”，因?yàn)樗梢杂行У亍叭蹟唷卑踩系K,。

這個(gè)危險(xiǎn)對于云服務(wù)器來說尤其嚴(yán)重,，因?yàn)閬碜远鄠€(gè)客戶的程序可能會(huì)在同一個(gè)芯片上并在網(wǎng)絡(luò)瀏覽器中運(yùn)行，而網(wǎng)絡(luò)瀏覽器可能不知不覺地執(zhí)行來自一個(gè)網(wǎng)站的代碼,。

2017年7月初,，Intel和其它芯片制造商已經(jīng)意識到該問題影響范圍巨大，并召集了多個(gè)小組來開發(fā)解決方案,。

Singhal召集了一次晨會(huì),，有時(shí)候會(huì)持續(xù)兩個(gè)小時(shí)，以此來協(xié)調(diào)Intel在俄勒岡州,、加州,、德克薩斯州和以色列的應(yīng)急響應(yīng)辦公室。來自不同時(shí)區(qū)的人不停歇地全天候處理這個(gè)問題,。

自始至終,，計(jì)劃都是首先發(fā)布軟件補(bǔ)丁，然后把保護(hù)措施納入未來的芯片設(shè)計(jì)中,。

軟件補(bǔ)丁的代價(jià)是降低了受影響CPU的性能，而降低的程度取決于Intel芯片的類型,，以及運(yùn)行的程序,。

在一臺(tái)配備Kaby Lake酷睿i7處理器的PC上進(jìn)行的測試表明，大多數(shù)應(yīng)用的速度降低了不到10％,，在日常使用中難以覺察到,。

微軟警告說，運(yùn)行Windows 7／8系統(tǒng)以及5年前的Intel Haswell處理器的PC會(huì)受到重大影響,。

Intel最新的安全措施

為此,，Intel CEO科再奇設(shè)立了一個(gè)新的小組IPAS（Intel產(chǎn)品保障與安全），不僅修復(fù)“幽靈”和“熔斷”漏洞,，還將更高效地應(yīng)對未來的安全問題,。1979年就加入Intel的高管Leslie Culbertson負(fù)責(zé)領(lǐng)導(dǎo)IPAS小組。

科再奇說,，“這是一個(gè)全新的研究領(lǐng)域和全新的安全理解領(lǐng)域,，需要Intel的長期投資”，重點(diǎn)將是發(fā)現(xiàn)未來的漏洞,，還有如何讓芯片更安全這個(gè)普遍問題,，“你會(huì)看到持續(xù)的進(jìn)展——這就是這個(gè)團(tuán)隊(duì)的工作”。

Singhal說：“我們知道這不是故事的結(jié)局,。對于我們很多人來說,，這或許會(huì)是一項(xiàng)持續(xù)的工作?！?/p>

當(dāng)新聞媒體在今年1月初報(bào)道了有關(guān)“幽靈”和“熔斷”的新聞之后,，Intel的股價(jià)遭受重?fù)?，因?yàn)橥顿Y者害怕安全問題會(huì)減緩芯片銷售。

最近,，一些分析師認(rèn)為,，內(nèi)置保護(hù)措施的全新Intel芯片可能會(huì)刺激更多的銷售，因?yàn)槠髽I(yè)希望升級到更安全的硬件,。

Intel的股價(jià)今年迄今為止已經(jīng)增長了12％,，超過了標(biāo)準(zhǔn)普爾500指數(shù)3％的增幅。

科再奇說：“我們從一開始就說,，我們認(rèn)為影響微不足道,。分析師需要意識到，我們持續(xù)進(jìn)行此類改進(jìn)——提高安全性和性能以及增加新功能,，以推動(dòng)升級換代,。”