OpenBSD-Projekt
Vertreter des OpenBSD-Projekts gaben heute auf ihrer Mailingliste bekannt, dass sie die Unterstützung für Hyper-Threading (HT) -Technologie auf Computern mit Intel-basierten CPU-Architekturen bald deaktivieren werden. Angesichts der Besorgnis vieler Menschen über sogenannte Bugs der Spectre-Klasse waren diese Entwickler der Ansicht, dass die umsichtigste Vorgehensweise darin bestand, die Technologie standardmäßig auszuschalten.
Diese Technologie dient als proprietäre Implementierung von SMT-Techniken (Simultaneous Multithreading). Computerchips, die HT-Module verwenden, führen parallele Operationen auf separaten Kernen einer einzelnen Mehrkern-CPU aus. Die Ingenieure von Intel haben lange behauptet, dass dies die Leistung gegenüber einer herkömmlicheren Berechnungsmethode erhöht.
Benchmarks haben manchmal bewiesen, dass HT-fähige Chips herkömmliche Multi-Core-CPUs um mehrere Größenordnungen übertreffen können. Dies könnte erklären, warum diese Funktion in fast allen Intel-Chips enthalten ist, die in den letzten 16 Jahren hergestellt wurden.
Mark Kettenis sprach im Namen des OpenBSD-Projekts darüber, dass das Entwicklerteam die Unterstützung für die HT-Technologie von Intel aufhebt, da dadurch die Tür für zeitbasierte Schwachstellen offen bleibt. Kryptografische Angriffe, mit denen externe Beobachter die für die Ausführung bestimmter Algorithmen benötigte Zeit aufzeichnen und analysieren können, können es Angreifern ermöglichen, verschlüsselte Daten zu lesen.
Da Administratoren auf vielen Computern die HT-Unterstützung in den UEFI- oder BIOS-Konfigurationsbildschirmen nicht mehr deaktivieren können, geschieht dies auf Betriebssystemebene. Kritiker haben angegeben, dass dies den Durchsatz auf Servern und OpenBSD-Workstations, die für Endbenutzer bereitgestellt werden, erheblich verlangsamen wird. Diese Art der Leistung ist besonders wichtig auf OpenBSD-Computern, die als Webserver arbeiten.
Kettenis gab jedoch an, dass das Ausschalten der Technologie nicht zu einer Verlangsamung der Systeme führt. Er ging sogar so weit zu sagen, dass das Deaktivieren Leistungsprobleme auf CPUs mit mehr als zwei Kernen verhindern könnte.
Die neue Einstellung hw.smt sysctl kann von Personen mit Root-Zugriff konfiguriert werden. Wer die HT-Technologie auf Intel-Chips nutzen und die Sicherheitsrisiken kennen muss, kann sie manuell wieder aktivieren. Trotz der Aufmerksamkeit, die der nativen Unterstützung von Intel geschenkt wird, ist diese Einstellung architekturunabhängig und deaktiviert alle integrierten SMT-Funktionen in Chips, die auch von anderen Anbietern wie AMD zusammengestellt wurden. Kettenis gab an, dass es derzeit nur auf Intel-CPUs mit OpenBSD / amd64 funktioniert.
OpenBSD hat bereits den Ruf, ein äußerst sicheres Betriebssystem zu sein. Daher sollten diese Änderungen die Serverbranche nicht überraschen.
Stichworte Intel OpenBSD
