Estudio del impacto de parches de seguridad en el núcleo de Linux

Abstract

[ES] Desde la publicación de Spectre y Meltdown en 2018, el campo de la seguridad \textit{hardware} ha descubierto un flujo constante de nuevas vulnerabilidades. Muchos de los procesadores construidos durante las últimas dos décadas necesitan mitigaciones de seguridad a nivel del sistema operativo con penalizaciones de rendimiento.

En este trabajo revisamos la literatura desde 2018 hasta agosto de 2020 en el campo de ataques al procesador y de mitigaciones a nivel de sistema operativo y enclaves \textit{hardware}, junto con las nociones relevantes de arquitectura de procesadores. En nuestro estudio presentamos las limitaciones de estos enclaves y la imposibilidad de seguir las recomendaciones de Intel.

Para medir el impacto de rendimiento en el sistema hemos desarrollado una herramenta de \textit{benchmarking} en forma de disco de arranque basado en Arch Linux, que proporciona un entorno de pruebas claramente definido y replicable. Hemos realizado nuestras pruebas con diversas configuraciones de inicio del núcleo de Linux en una variedad de procesadores de AMD e Intel, que muestran una clara bajada de rendimiento en la configuración por defecto para Intel (~3%) y en la configuración segura (~18%).

[EN] Since the publication of Spectre and Meltdown in 2018, the field of hardware security has discovered a constant flux of new vulnerabilities. Many of the processors built in the last two decades need security mitigations on the operating system level with performance penalties.

In this work we revise the literature from 2018 up to August 2020 in the field of attacks against the processor, operating system mitigations, and hardware enclaves, along with the relevant notions in CPU architecture. We show the limitations of these enclaves and the impossibility of following Intel's recommendations.

We have developed a benchmarking tool in the form of a system boot image based on Arch Linux, which provides a clearly defined, easily replicable test environment. We have made tests with different boot configurations on Linux on a variety of AMD and Intel processors, which show a clear performance drop on the standard configuration for Intel (~3%) and the safe configuration (~18%).

[CA] Des de la publicació de Spectre i Meltdown en 2018, el camp de la seguretat hardware ha descobert un flux constant de noves vulnerabilitats. Molts dels processadors construïts durant les últimes dues dècades necessiten mitigacions de seguretat a nivell de sistema operatiu amb penalitzacions de rendiment. En aquest treball revisem la literatura des de 2018 fins a agost de 2020 al camp d’atacs a el processador i de mitigacions a nivell de sistema operatiu i enclavaments hardware, juntament amb les nocions rellevants d’arquitectura de processadors. En el nostre estudi presentem les limitacions d’aquests enclavaments i la impossibilitat de seguir les recomanacions d’Intel. Per mesurar l’impacte de rendiment en el sistema hem desenvolupat una ferramenta de benchmarking en forma de disc d’arrencada basat en Arch Linux, que proporciona un entorn de proves clarament definit i replicable. Hem realitzat les nostres proves amb diverses configuracions d’inici del nucli de Linux en una varietat de processadors d’AMD i Intel, que mostren una clara baixada de rendiment en la configuració per defecte per a Intel (≈ 3%) i en la configuració segura (≈ 18%).