Nieuws

Een bekende geroepen BORRELkwetsbaarheid „rowhammer,“ die een aanvaller toestaat om controle van een systeem te onderbreken of te nemen, blijft de spaanderindustrie achtervolgen. De oplossingen zijn geprobeerd, en nieuwe degenen worden voorgesteld, maar het potentieel voor een belangrijke aanval duurt voort.

Ontdekte eerst zowat vijf jaren geleden, hebben de meeste inspanningen om de „rowhammer“ bedreiging te elimineren weinig meer dan ondervangen het probleem gedaan.

„Rowhammer is een grote kwestie,“ bovengenoemde Barbara Aichinger, ondervoorzitter in FuturePlus. De „verkopers beweren dat het ‚werd bevestigd, ‚maar het was niet. Als u enkel de vele documenten bekijkt die in 2020 zijn gepubliceerd, zult u overvloed van bewijsmateriaal van dat.“ zien

Er zijn talrijke te blokkeren manieren rowhammer, hoewel tot dusver niets ruim definitief en beslissend is goedgekeurd. De matigingen kunnen op het softwareniveau, het browser niveau, en in hardware in Borrels en geheugencontrolemechanismen worden gevonden. Maar deze proberen slechts om de aanvallen tegen te werken. Zij lossen niet het probleem bij de worteloorzaak op. Één bedrijf eist nu om een oplossing te hebben.

Rowhammergrondbeginselen
Rowhammer komt voor aangezien een onbedoeld gevolg van de manier de BORREL wordt gemaakt. Dat het proces een zorgvuldig bewerkte manier is om zoveel mogelijk beetjes neer te worden op silicium voor zo weinig geld mogelijk. Eenvoudig is het veranderen van het proces geen gemiddelde prestatie. Het feit dat wij niet upend de manier kunnen bouwen wij enorme hoeveelheden geheugen — samen met de constante belofte van matigingen zoals volstaand — wortel-oorzaak oplossingen hebben verhinderd.

Het probleem komt op het matrijzenniveau voor langs muren die als deel van het productieproces zijn geëtst. Dat etsproces verlaat onvolmaaktheden, of vallen, die elektronen kunnen vangen en op hen houden. Als die elektronen in de vallen bleven, zou dit niet zulk een grote probleem kunnen zijn. Maar later in de cyclus van de geheugentoegang, kunnen die elektronen worden vrijgegeven. Van daar, kunnen zij rond afdrijven, potentieel omhoog beëindigend in een naburige cel.

„Telkens als u de rij van aan op weg uitzet, krijgt u een rookwolk van elektronen in het substraat,“ bovengenoemd Andy Walker, ondervoorzitter van product bij Rotatiegeheugen. „Sommige van deze elektronen zullen migreren en door nabijgelegen knopen.“ opgenomen

Fig. 1: De vallen langs de (verlaten) zijwand vangen elektronen die daar tijdelijk blijven (centrum). Later, kunnen zij aan andere (juiste) worden vrijgegeven en migreren cellen. Bron: IEDM/Micron

Een cel van het BORRELbeetje is niets meer dan een condensator die last opslaat, samen met de middelen om last en uit binnen te brengen wanneer het schrijven van, en het bepalen van hoeveel last daar wanneer het lezen is. De condensatoren kunnen lekken, en het lezingsproces is vernietigend zelf. Zo moet een condensator zijn die waarde hebben net na zijn gelezen wordt verfrist of, als het niet, dan bij één of andere vooraf bepaalde frequentie lange tijd wordt betreden.

Het fundamentele punt is hier dat de staat van de cel door de last op de condensator wordt bepaald, en dat de last tussen verfrist cycli kwetsbaar is. De afdrijvende elektronen kunnen in een cel migreren, die de last in de cel veranderen. Indien gedaan teveel tijden, kan genoeg last accumuleren om de waargenomen staat van de cel te veranderen.

Dit is waar het „hamer“ deel van rowhammer binnen komt. Het idee is dat, als een bepaalde rij genoeg tijden wordt gelezen alvorens me verfris voorkomt, kunnen de herhaalde mini-uitbarstingen van deze dolende elektronen een naburige cel veranderen. In feite, op de recente IEDM-conferentie, merkte Naga Chandrasekaran, hogere ondervoorzitter, technologische ontwikkeling bij Micron, op dat, met krimpende afmetingen, het slechts geen naburige rijen kan zijn die kwetsbaar zijn. Aangezien de rijen dichter samenkomen, zelfs zouden de dichtbijgelegen-naburige rijen – twee of zelfs meer rijen weg – kunnen ook worden beïnvloed.

Van fenomeen aan aanval
Het neemt wat het slimme denken om dit fenomeen te nemen en te weten te komen hoe het zou kunnen worden gebruikt om een systeem aan te vallen. Terwijl er niet nog om het even welke ernstige zwart-hoedenaanvallen schijnen geweest te zijn, zijn er talrijke academische documenten geweest die rowhammer als het nemen van controle van een systeem illustreren.

„Sommige opmerkelijke demonstraties van de aanval heffen aan de hogere rechten van het systeemniveau op (als aan beheerder die), een Android-telefoon wortel schieten, of controle nemen van wat een beschermde virtuele machine zou moeten zijn,“ bovengenoemd John Hallman, productmanager voor vertrouwen en veiligheid bij OneSpin-Oplossingen.

Kijkend omhoog beneden vanaf de bovenkant van een systeem en de bodem van de spaander, zijn er twee grote uitdagingen. Men ligt in het weten van waar het kritieke systeemgegeven in geheugen wordt gevestigd. Andere vereist kennis waarvan de rijen fysisch aangrenzend zijn. De specifieke lay-out van de belangrijke spaander, en dit worden gewoonlijk gehouden vertrouwelijk door chipmakers. U kunt niet veronderstellen dat de fysieke die regeling van een geheugen door één verkoper wordt gemaakt hetzelfde als dat van een andere verkoper zal zijn.

Elk van dit heeft rowhammer moeilijk gemaakt, maar in geen geval onmogelijk, om een haalbare aanval te worden. Terwijl de details van de diverse aanvallen in de vele onderzoekrapporten detaillerend de resultaten worden opgemaakt, tonen een paar voorbeelden aan hoe het zo veel geen uitdaging van eerder het krijgen van volledige controle van één of ander willekeurig deel van geheugen, maar het worden van controle van strategische plaatsen is — en met dat, die controle van het algemene systeem nemen.

Één aantrekkelijke die plaats aan doel is de lijsten voor geheugenbeheer worden gebruikt. Zij maken de voorgenomen grenzen voor de diverse processen op die die, met inbegrip van de toestemmingen lopen worden vereist om tot de verschillende toewijzingen toegang te hebben. Eerder dan het aanvallen van het belangrijkste geheugen, die deze pagina aanvallen betekent de lijsten dat, met één uitgeef, kan een beperkt proces op een bepaalde manier veranderen dat meer (of allen) van het geheugen – met inbegrip van veilige blokken – toegankelijk voor de aanvaller maakt. Met die één verandering, is het systeem nu opengesteld voor verdere benutting.

In verband met het bepalen van welke rij aan hamer – en dan hamerend het – het overwegende gebruik van geheim voorgeheugen dit harder maakt. Als u een programma schrijft dat eenvoudig tot wat geheugenplaats herhaaldelijk toegang heeft, leveraging u niet het rowhammerfenomeen. Dat is omdat de eerste geheugentoegang zal veroorzaken dat de inhoud worden geladen in geheim voorgeheugen, en alle verdere degenen zullen van geheim voorgeheugen eerder dan het herlezen van het geheugen trekken.

Dat maakt het krijgen van rond het geheime voorgeheugen een belangrijk stuk van om het even welke prestatie. Het kan, afhankelijk van de gebruikte bewerker gemakkelijker of harder worden gemaakt, omdat de verschillende architectuur het verschillende beleid heeft van de geheim voorgeheugenuitzetting (en die met zuiver deterministisch beleid zijn meer in gevaar). Dit gezegd zijnde, echter, kunnen de bepalende nabijheid het maken van subtiele timingsberekeningen impliceren om te bepalen of de gegevens zijn of niet reeds in het geheime voorgeheugen of de rijbuffer binnen de BORREL zijn.

Het maken van een aanval nog taaier is het feit dat sommige geheugenbeetjes kwetsbaarder zijn aan aanval dan anderen. Er kan een deterministische oorzaak zijn, zoals het maken van een tot bepaald gebied een waarschijnlijk doel in veelvoudige spaanders, of er kan één of ander willekeurig element zijn aan het. Zo niet zal elke geheugencel aan rowhammer op dezelfde manier antwoorden.

Het effect van deze projecten is een erkenning dit een echte bedreiging, niet theoretische is, en het is enkel een kwestie van tijd alvorens iemand verwoesting – vooral met zo veel gegevensverwerking zich beweegt aan de wolk creeert, waar de talloze servers en hun geheugen van overal in de wereld kunnen worden betreden.

Matigingen en omleidingen
Tot op heden, lossen de meeste zichtbare inspanningen zich te verzetten tegen rowhammer niet de fundamentele fysica van het probleem op; zij verstrekken manieren om rond de kwestie te werken. En zij zijn uitgevoerd op veelvoudige niveaus.

Bijvoorbeeld, heeft het gebruiken van browser om tot een verre server toegang te hebben tot de browser industrie een bewaarder gemaakt. Omdat een aanval subtiele timingsmetingen kan impliceren, verminderden browsers beschikbare granularity van timing. Het is niet meer mogelijk om nanoseconde-vlakke nauwkeurigheid te krijgen. In plaats daarvan, kan het nauwkeurige microseconden maar nog minder nauwkeurig –, duizend keer zijn, en genoeg om één manier te beperken om aan te vallen.

„Belangrijke browsers hebben deze kwestie, verlicht of minstens aan,“ bovengenoemd Alric Althoff, de hogere ingenieur van de hardwareveiligheid bij Tortuga-Logica geprobeerd. „Veel van de daadwerkelijke moeilijke situaties zijn software-based en zeer gericht (b.v. Google Chrome verlichte GLitch door uitbreidingen uit een webGLimplementatie in 2018 te verwijderen). Maar grote meeneem is dat de hardwarekwetsbaarheid geen die ‚ver‘ kan worden geëxploiteerd slechts op een experiment wacht dat aantoont dat zij kunnen, en dat ‚niet de geëxploiteerde‘ werkelijk kunnen zijn middelen kunnen wij enkel niet aan een manier denken om de verre prestatie op dit ogenblik te doen.“

In een retrospectief document, werden zes geïdealiseerde oplossingen voorgesteld. De „eerste zes oplossingen zijn: 1) vervaardigend betere BORRELspaanders die niet kwetsbaar zijn, 2) het gebruiken van (sterke) fout het verbeteren codes (ECC) aan correcte rowhammer-veroorzaakte fouten, 3) het verhogen van de vernieuwingsfrequentie voor elk van geheugen, 4) remapping statisch/terugtrekkende rowhammer-naar voren gebogen cellen via een éénmalige post-vervaardigt analyse, 5) remapping dynamisch/terugtrekkende rowhammer-naar voren gebogen cellen tijdens systeemverrichting, en 6) nauwkeurig identificeert gehamerde rijen tijdens runtime en verfrist hun buren.“

De meeste matigingennadruk op nummer 6. Nummer 1 zou gewenste de wortel-oorzaak moeilijke situatie zijn. Nummer 2 – ECC – kan worden gebruikt, maar heeft beperkingen die wij binnenkort zullen bespreken. Nummer 3 kan aantrekkelijk zijn, maar het is een constante jacht zonder eind. En nummer 4 en 5 leiden tot significante systeem-vlakke ingewikkeldheid.

Veel van de matigingsnadruk is op het lagere die geheugenniveau geweest – tussen de BORRELspaander zelf en de controlemechanismen wordt verdeeld die zich tussen de BORREL en het systeem bevinden. „Binnen verfris cyclus, is er een venster wanneer dergelijke aanvallen een bepaalde waarde,“ bovengenoemde Vadhiraj Sankaranarayanan, hogere technische op de markt brengende manager in Synopsys overschrijden. „Dan kunnen de oplossingen overal – bij het controlemechanisme of de Borrels worden gebouwd. Het vereist dure hardware, en het is macht-hongerig. Maar wij willen veilig het geheugen zijn omdat de gegevens hier de koning.“ zijn

Één manier om aanvallen te verhinderen is het aantal toegangen op een bepaalde rij tussen te tellen verfrist zich. Als een drempel wordt overschreden, dan verhindert u verdere toegang. Terwijl dat in concept eenvoudig kan klinken, is het moeilijk om in praktijk te brengen. Er zijn geen goede modellen die voor geheugen een toegang weigeren die anders wettig schijnt te zijn. Zo de besluiten al manier terug in het systeem worden vereist voor te doen wat als een gelezen verzoek wordt ontkend. dat het gemiddelde dat het controlemechanisme tegenhoudt, wacht en opnieuw probeert? Geïmpliceerd wordt het besturingssysteem? Uiteindelijk ontbreekt een toepassing?

Twee nieuwe die mogelijkheden aan de JEDEC-geheugennormen worden toegevoegd hebben een andere reactie verstrekt. Één nieuwe eigenschap wordt genoemd doel-rij verfrist zich, of TRR. Het idee is daar dat, terwijl de Borrels om zich worden geplaatst te verfrissen na leest en volgens een programma, een fijn-granularitymechanisme voor het uitvoeren van enig-rij verfrist op bestelling wordt vereist. Als iemand of iets – in het geheugen of in het controlemechanisme – ontdekt dat een aanval aan de gang zou kunnen zijn, kan het uitgeven verfrist zich aan de beïnvloede rij en omkeert om het even welke het hameren die tot dat punt zou kunnen voorgekomen zijn.

Het „controlemechanisme houdt controlerend, en, als het een bepaalde rij verdenkt of de rijen aangevallen worden, komt het controlemechanisme onmiddellijk wat te weten de mogelijke slachtoffers,“ bovengenoemde Sankaranarayanan zijn. „Zet het dan de Borrels op TRR-wijze, en het kan pro-actief verzenden verfrist zich aan die slachtofferrijen om hen te verhinderen hun oorspronkelijke staat te verliezen.“

De controle kan alternatief in de Borrels zelf, ten koste van matrijzengrootte en macht worden uitgevoerd. De „borrels kunnen tellers ook hebben,“ toegevoegde Sankaranarayanan. „Het is macht-hongerig, maar wat hebben tellers die blijvende toegangen kunnen controleren.“

Zentel biedt een oplossing aan in wat het naar zoals „rowhammer-vrije“ BORREL doorverwijst. „Voor de BORREL van 2Gb en van 4Gb DDR3 (25nm-knoop), past Zentel een merkgebonden regeling van de rowhammerbescherming met een geïntegreerde hardwarecombinatie van toe veelvoudige tellers en SRAM om het aantal rijactivering te controleren, en de slachtofferrij te verfrissen zodra een bepaalde maximumtelling,“ bovengenoemd Hans Diesing, directeur van verkoop in Zentel wordt bereikt. Dit verstrekt een reactie die niet prestaties meetbaar zou moeten beïnvloeden of zichtbaar buiten de BORREL zijn.

Deze oplossing komt, natuurlijk, met kosten. De „extra hardwarestructuur voegt aan onroerende goederen spaander toe en, wegens minder wafeltjeopbrengst, is het niet zo concurrerend op kosten en prijs in vergelijking met de rest van deze industrie,“ hij voegde toe. „Maar deze rowhammer-vrije versie werd ontworpen op bestelling van klanten van de HDD-industrie.“

TRR heeft alle spelers niet, nochtans tevredengesteld. „In het algemeen, zijn de BORRELverkopers en de controlemechanismeverkopers gesloten over TRR,“ bovengenoemde Sankaranarayanan. In feite, eerder dan het zijn eenvoudig één matiging, schijnt TRR een paraplu voor een aantal matigingen te zijn, veel waarvan kunnen worden gemeden. „Jammer genoeg, beschrijft TRR een inzameling van methodes, veel waarvan niet,“ bovengenoemde Althoff werken. „Het is daarom per se geen matiging, slechts een familie van tegenmaatregelen.“

Terwijl TRR tegen éénzijdig (één naburige aanvalsrij) of met twee kanten kan kunnen beschermen (beide naburige rijen als aanvallers), kan het niet tegen „veelzijdige“ aanvallen helpen – veelvoudige rijen die tegelijkertijd worden gewerkt. Een hulpmiddel is zelfs ontwikkeld helpen berekenen hoe te om aanvallen in aanwezigheid van TRR te wijzigen zodat zij nog efficiënt zullen zijn.

De foutcorrectiecodes (ECC) worden ook gezien als mogelijke oplossing. Het idee is er een rij kan worden bedorven, maar die corruptie zal tijdens het lezenproces worden verbeterd. Dat kan het geval voor rijen zijn waar één enkel beetje of zo bedorven, maar – gezien men een volledige rij hamert, niet alleen stukken van het – er kunnen meer fouten zijn dan ECC kan verbeteren. „Één van de primaire bescherming voor deze aanval is foutcodecorrectie geweest (ECC), hoewel zelfs nu de aanvallers beginnen manieren rond deze bescherming te identificeren,“ nota nam van Hallman.

Bovendien verbeteren sommige ECC implementaties slechts de gegevens die, niet de oorspronkelijke gegevens in de rij worden gelezen. Het verlaten van het onjuiste beetje betekent op zijn plaats dat de toekomst zich zal versterken de fout verfrist, aangezien me herstelt wat reeds daar is, eerder dan het herstellen van het aan één of andere bekende gouden verwijzingsstaat verfris. Het vermijden van dit zou betekenen gebruikend ECC om de onjuiste beetjes en het verbeteren van hen in geheugen te bepalen.

Er is ook een nieuw geroepen controlemechanismebevel verfrist beheer (RFM). „RFM is in de JEDEC-norm voor DDR5, maar dat is niet nog geëvalueerd door het bredere veiligheidspubliek,“ bovengenoemde Althoff. „Zo terwijl het conceptueel goed schijnt, is het onbeproefd, en zo is geen bekende matiging, enkel vermoedelijke.“

Het patroon is dit geweest en andere matigingen worden gepubliceerd, en de academische wereld gaat werken om te bewijzen dat zij nog rond de matigingen kunnen worden. En, grotendeels, zijn zij correct geweest.

Een extra zorg geeft nu door, gezien de meeste matigingen zich op op cpu-Gebaseerde systemen hebben geconcentreerd. GPUs kan een alternatieve manier verstrekken om een systeem aan te vallen, zodat is de aandacht daar nodig, ook.

De „industrie heeft gewerkt om deze bedreiging sinds 2012 te verlichten, met technieken zoals Doel verfrist de Rij een deel (van TRR) van de normen van DDR3/4 en LPDDR4-en verfrist Beheer (RFM) in de specificaties van DDR5 en LPDDR5-,“ bovengenoemde Wendy Elsasser, voorname ingenieur bij Wapen. „Nochtans, zelfs met deze en andere matigingstechnieken, aangezien de BORREL interne lay-outs merkgebonden zijn, rowhammer zijn de aanvallen bijzonder moeilijk om te verlichten tegen.“

Kan de fundamentele kwestie worden opgelost?
Heilige Grail met deze kwestie is een manier geweest om de migrerende elektronen tegen te houden van het storen van cellen. Doend dat op een manier die niet upend het gehele BORRELproces of Borrels onbetaalbaar maken de grote uitdaging is geweest. Daarom is er zo veel nadruk bij het oplossen van het probleem onrechtstreeks, door matigingen, eerder dan direct het oplossen van het geweest. Maar met matigingen onder constante aanval, zou een wortel-oorzaak oplossing welkom zijn.

„Dit is een argument voor een hardwareoplossing aan een hardwareprobleem,“ bovengenoemde Althoff. „Als de hardware kwetsbaar is, is duwen van de matigingsverantwoordelijkheid aan software – of om het even welk hoger abstractieniveau – gelijkwaardig [een populaire meme die een waterlek tonen die met buisband worden gestopt.]“

Één bedrijf eist om zulk een moeilijke situatie gevonden te hebben – misschien per toeval. Het rotatiegeheugen (vroegere STT, een MRAM-producent) leidde tot een nieuwe selecteur die zou helpen die het gebied te verminderen voor een cel van het geheugenbeetje wordt vereist. Vele beetjecellen bestaan uit één enkele component (als een weerstand, een condensator, of een transistor), maar zij hebben een af te sluiten manier nodig zodat zijn zij niet toevallig gestoord wanneer een andere verwante cel wordt betreden. Om deze reden, wordt een extra „selecteurs“ transistor toegevoegd aan elke beetjecel, die de beetjecel groter maken.

Het rotatiegeheugen vond het een pagina kon nemen van het 3D NAND boek – een transistor maken verticaal met een omringende poort werken – en het plaatsen die dat onder de geheugencel eerder dan naast het. Deze gestapelde regeling zou daarom de grootte van de geheugenserie samenpersen.

„Het kan dan voor om het even welke weerstand biedende schakelaar zoals ReRAM, CBRAM, CERAM en PCRAM worden gebruikt – om het even welke twee-eindweerstand die stroom of voltage om vereist te schakelen,“ bovengenoemde Leurder. „Het is een verticale die poort rondom transistor bij selectieve epitaxy wordt gebaseerd. Het is een apparaat met hoog voltage in 3D NAND die wij aan onze zeer zwakstroomtoepassing aanpassen. Het vereist hoge aandrijving en lage lekkage, dat wat dat aan in materialenwetenschap vertaalt is dat het kanaal van het apparaat monocrystalline moet zijn.“ Vandaar, epitaxy eerder dan deposito.

Dit geeft de transistor twee kritieke kenmerken die tot het een mededinger voor volledige rowhammeroplossing maken. Men is dat het gebruikte silicium epitaxially boven het wafeltje eerder dan wordt geëtst in het wafeltje wordt gekweekt. Aangezien de ets de primaire bron van de vallen is die de elektronen in de eerste plaats vangen, vermindert het elimineren van die valplaatsen zeer, of zelfs elimineert, de bron van de kwestie.

Het tweede kenmerk is begraven de n-type laag die effectief verdwaalde elektronen, blokkeert uit de bron, die zich in de beetjecel mengen. Indien bevestigd, zou dit effectief het rowhammermechanisme sluiten.

Fig. 2: Voor de linkerzijde, kunnen worden opgesloten de elektronen op de aanvallercel aan de naburige cel afdrijven en de last op de condensator veranderen die. Voor het recht, onlangs voorgestelde sluit epitaxy van het structuurgebruik, die tot minder leiden plaats op, en een n-gesmeerd gebied blokkeert om het even welke dolende elektronen van de toegang tot van de beetjecellen. Bron: Rotatiegeheugen.

De rotatie, samen met NASA en Imec, publiceert een document (achter een paywall momenteel) dat de oplossing zal detailleren. Zoals met zulk voorstel, moet het onder de veiligheidsgemeenschap doorgeven, staand voor uitdagingen en tests alvorens het kan worden goedgekeurd definitief.

De test de doeltreffendheid van een matiging is niet gemakkelijk, vereisend zorgvuldige modellering van aanvallen – minstens, bekende degenen. „Door van onze foutinjectie en opsporingsprogramma's te gebruiken, kunnen wij met klanten werken om de aanvallen te modelleren en de gevolgen voor het geheugen aan te tonen,“ bovengenoemde Hallman. „Dit kon gebieden identificeren waar de informatie nog kon worden gelekt.“

De test de doeltreffendheid van een silicium-niveau moeilijke situatie van eerste principes is ook een uitdaging. De „BORREL is harde IP, en de aanval exploiteert fysica, zodat zou u iets met precisie op de orde van KRUID, of een gericht alternatief, om met vertrouwens pre-silicium nodig hebben te verifiëren,“ bovengenoemde Althoff.

Maar het bewijs van zowel matigingen als moeilijke situaties is noodzakelijk in de omzichtige industrie. De „rotatie is niet de eerste proberen om rowhammer-immune BORREL te veroorzaken,“ nam nota van Aichinger van FuturePlus. „Verscheidene nieuwe matigingsstrategieën zijn onder behandeling, en u zou meer over dit in 2021 moeten horen. “ (Van Teken)