还记得去年的Spectre和Meltdown的安全漏洞吗？英特尔和AMD真的不希望这样。他们希望你理解，这些投机的执行漏洞不会消失，至少目前为止还没有提出解决方案。

永久性的修复将需要对CPU的设计方式进行根本性地更改，而不是尝试修复随附的每个变体。这个提议－一个“安全核心”，确保您的数据不会受到攻击者的攻击，无论他们试图利用什么漏洞。

这可能不是这些大型处理器公司想要走的路线，但它可能是唯一一条能够实现的路线。

从根开始

当新一代处理器推出时，每个人都会问的第一个问题是，“它有多快？”“更多的兆赫、更多的核心、更多的缓存，所有这些都可以使应用程序运行更快，游戏性能更好。第二个考虑因素可能是电力需求或热输出，但很少有人问安全性。

问题在于，过去几年的性能提升主要是由推测预测推动的，即CPU会猜测你下一步要做什么，并准备好你可能需要的一切。这对于性能来说非常好，但正如Spectre及其变体所示，对于安全性来说非常糟糕。

Malwarebytes高级安全研究公司Jean－Philippe Taggart告诉Digital Trends，“投机执行已经成为CPU性能优化的一个长期特征。”他解释道，正是这个特性使得英特尔和其他公司的CPU容易受到幽灵和类似攻击。他说：“CPU架构需要重新考量，要么保留这些性能并增强它们，要么保护它们免受幽灵之类的攻击，要么完全消除它们。”

一个潜在的解决方案是为下一代CPU添加新的硬件。与处理高马力处理核心上的敏感任务不同，如果芯片制造商将这些核心与一个专门为此类任务设计的额外核心结合在一起会怎么样？

这样做可能会使Spectre及其变体成为新硬件的问题。明天的主要CPU核心是否容易受到此类攻击并不重要，因为这些核心不再处理私有或安全信息。

信任的根源不仅仅是一个粗略的轮廓。在某些情况下，它已经是一个可行的产品，所有像英特尔或AMD这样的主要芯片公司都需要利用它，就是采用它。

回避幽灵

Rambus产品管理高级总监Ben Levine在被问及持续的幽灵变种威胁时告诉Digital Trends：“如果你总是被动的，必须等待安全漏洞，然后再修复它们，那么在安全方面就很困难了。”“试图使复杂处理器安全的问题确实是一个困难的方法。这就是我们提出的将安全关键功能移动到单独核心的方法。”

Rambus产品管理高级总监Ben Levine

虽然不是第一个提出这样一个想法的人，但Rambus已经对它进行了改进。它的CryptoManager Root of Trust是一个独立的核心，可以放在一个主要的CPU芯片上，有点像许多移动处理器中的big．little概念，甚至是英特尔自己的新Lakefield设计。但是，如果这些芯片使用较小的内核来节省能源，那么安全的核心信任根将首先关注安全性。

它可以将处理器与加密加速器以及自己的安全内存结合起来，而不需要考虑主要CPU的某些方面。这将是一个相对简单的设计，相比于今天运行我们的计算机的可怕的通用CPU，但这样做会更安全。

在保护自身的过程中，安全核心可以承担最敏感的任务，而一般用途的CPU核心通常会处理这些任务。安全加密密钥、验证银行事务、处理登录尝试、在安全内存中存储私有信息或检查启动记录在启动期间未损坏。

所有这些都有助于提高使用它的系统的总体安全性。更好的是，由于它将缺乏推测性的性能增强，它将完全安全地抵御类似幽灵的攻击，使它们失效。这些攻击仍然可以对主CPU核心进行攻击，但由于它们不会处理任何值得窃取的数据，因此无关紧要。

“我们的想法不是设计出一个做每件事都非常快速和安全的CPU，而是可以让我们针对不同的目标分别优化不同的内核。” Levine解释说。“让我们优化我们的主CPU以获得性能或更低的功耗，无论对于该系统重要的是什么，优化另一个核心以实现安全性是必要的。现在，我们有了这两个单独优化的处理域，并且考虑到计算和系统的特点，在其中任何一个域中进行处理都是最合适的。”

这样的核心操作起来有点像苹果在iMac上推出的t2协处理器芯片，后来在2018年实施。

安全，但成本是多少？

人们常说复杂性是安全的敌人。这就是Rambus提出的安全核心设计相对简单的原因。并不像台式机或笔记本电脑中的典型CPU那样，是一个具有多核和高时钟速度的大而可怕的芯片。

那么，这是否意味着如果将这样的核心与现代芯片一起使用，我们会牺牲性能？不一定。
从安全核心的概念来看，无论是Rambus的CryptoManager信任根，还是来自另一家公司的类似设计，重要的是它只会执行专注于隐私或安全的任务。您不需要它在游戏过程中接管图形卡，或在Photoshop中调整图像。您可能更喜欢它来处理通过聊天应用加密您的消息。这就是专用硬件可以在安全性之外获得一些好处的地方。

Levine说：“加密算法、加密或解密算法（如AES）或使用公钥算法（如RSA或椭圆曲线）等，这些操作在软件中的执行速度相对较慢，但安全核心可以有硬件加速器来更快地执行这些操作。”

这是Arm的物联网安全负责人，Rob Coombs非常赞同。

“通常信任的根源将构建在加密加速器中，因此需要更多的芯片，但其好处在于，它对加密函数等功能具有更高的性能，因此您不需要仅仅依靠处理器来执行文件的常规加密。”他说。“处理器可以设置它，然后加密引擎可以咀嚼数据并对其进行加密或解密。你将获得更高的性能。“

像英特尔这样的现代处理器确实有自己的加密加速器，因此，在这种情况下，加密或解密从根本上来说可能不会比通用CPU完成相同任务更快，但这是可以比较的。

Rob Coombs，ARM物联网安全主管

尽管Coombs在他与我们的谈话中强调，信任核心的根源需要一些额外的硅片来生产，但是这样做的成本，诸如制造价格、芯片的功率消耗或热输出等其他重要因素，基本上不会受到影响。

Rambus的Ben Levine同意了。

“与其他一切相比，安全核心很小，”他说。“对芯片，功率或散热要求的成本确实没有显着影响。如果你仔细设计的话，你可以在一个非常小的逻辑区域做很多事情。我们的目标是简单，如果你保持简单，你就保持小。如果它很小，那就是低功耗。”

他唯一需要注意的是，在像物联网中使用的更小，更低功耗的设备中，Rambus的安全核心将对功率和成本产生更大的影响。这就是ARM更模块化的方法可能出现的地方。