Com o Kernel Linux 5.15, o kernel é uma nova opção de tempo de construção para fortalecer ainda mais o kernel em torno de ataques de side channel e vazamento de informações. Habilitar esta opção pode ter algum (pequeno) custo de desempenho e um kernel um pouco maior.
A nova opção adicionada ao Kernel Linux 5.15 para fortalecer ainda mais o kernel é CONFIG_ZERO_CALL_USED_REGS . Habilitar esta opção e usar o compilador GCC 11 ou mais recente para construir o kernel habilitará a opção do compilador -fzero-call-used-regs = used-gpr .
O uso desta opção de compilador "zero-call-used-regs" garante que qualquer conteúdo de registro usado chamado seja zerado antes de retornar de uma função. Esse foco é garantir que os valores temporários não sejam potencialmente vazados para fora da função para reduzir as chances de o conteúdo do registro ser usado para ataques de canal lateral ou exposição de informações. Quanto à eficácia desta nova opção de compilador para construir o kernel Linux, ela reduziu o número de dispositivos ROP na imagem do kernel em cerca de 20% e eliminou dispositivos simples de "escrever o que onde".
Ter o CONFIG_ZERO_CALL_USED_REGS ativado fez com que o desempenho fosse afetado no x86_64 em menos de 1% para um teste de compilação de kernel paralelo. Outros números de referência não foram fornecidos. Isso também pode aumentar o tamanho da imagem do kernel em menos de 1% para x86_64. No entanto, no AArch64 observou-se que a imagem cresceu cerca de 5,5%, mas nenhuma palavra sobre o impacto no desempenho do tempo de execução.
A opção "zero-call-used-regs" do GCC é baseada em trabalhos anteriores de engenheiros da Intel trabalhando no Clear Linux com um recurso de "zero-caller-saved-regs" proposto anteriormente. No caso do patch da Intel anterior, ele era bom o suficiente para ser usado pelo Clear Linux, voltado para o desempenho da Intel, para ajudar a impedir ataques ROP / COP / JOB.
O CONFIG_ZERO_CALL_USED_REGS é adicionado com as atualizações de proteção de entrada para o kernel Linux 5.15.
Até a próxima !!
Nenhum comentário:
Postar um comentário