Meltdown und Spectre: Google hat Patches ohne Performance-Verlust

Zwei Google-Entwickler könnten in den kommenden Tagen zu Helden der IT-Branche aufsteigen. Ihnen ist es mit einem neuen Verfahren gelungen, die jüngst bekannt gewordenen Sicherheitsprobleme in Prozessoren auszuschalten, ohne dass die Patches für nennenswerte Performance-Einbußen sorgen. Als die Fehler bekannt und Patches angekündigt wurden, war noch davon die Rede, dass die Absicherung gegen Angriffe letztlich zu massiven Performance-Einbußen von bis zu 30 Prozent führen kann. Ganz so schlimm scheint es in der Praxis allerdings schon auf dem aktuellsten Stand nicht zu werden, wie diverse, kurzfristige Benchmark-Tests zeigen. Und bei Google hat man schon einen Weg gefunden, die Leistungseinbußen noch deutlich stärker zu minimieren.

Die beiden Google-Entwickler Matt Linton und Pat Parseghian haben das Verfahren mit der Bezeichnung "Retpoline" entwickelt. Patches die darauf basieren, sollen bereits in weiten Teilen der Google-Infrastruktur zum Einsatz gebracht werden. Dabei habe man bereits feststellen können, dass sich die Performance-Einbußen in einem nahezu vernachlässigbaren Bereich bewegen. Und dies dürfte als Einschätzung eines Betreibers zahlreicher Datenzentren etwas heißen, denn jedes Prozent mehr oder weniger Leistung ist bei Google eine Frage von vielen Millionen-Dollar-Werten.

KPTI schottet noch mehr ab

Bei Google wird das neu gestaltete Patching-Verfahren inzwischen mit der so genannten Kernel Page Table Isolation (KPTI) kombiniert. Diese sorgt für eine noch bessere Abschottung der einzelnen Speicherbereiche, so dass sensible Informationen in diesen noch besser geschützt sind. Die Bugs in den Prozessoren erleichterten es immerhin gerade deutlich, besonders pikante Speicher-Segmente auszulesen - auch solche, in denen beispielsweise Krypto-Keys abgelegt werden. Google hat KPTI inzwischen nach eigenen Angaben auf allen Linux-Produktions-Servern zum Einsatz gebracht, auf denen Dienste wie die Suche, Gmail, YouTube oder die Google Cloud Platform laufen.

Die Konzept-Papiere zu den bei Google genutzten Verfahren habe man auch schon an diverse Partner in der ganzen IT-Branche weitergegeben, hieß es. Entsprechend kann hier damit gerechnet werden, dass die Erkenntnisse auch in diverse andere Patches und Updates einfließen werden. Alle anderen Interessierten können sich auch direkt bei Google schlaumachen, da die Informationen öffentlich bereitgestellt werden. Allerdings weisen die Entwickler darauf hin, dass die Einflüsse auf die Performance natürlich auch abhängig von den jeweiligen Aufgaben sind. Und auch wenn es selbst in den Cloud-Diensten des Konzerns, die eine große Vielfalt von Anwendungen hosten, zu keinen nennenswerten Einbußen kam, sollte man vor einem größeren Einsatz der Patches und auch von KPTI sicherheitshalber eigene Tests durchführen.

Siehe auch:

Newsletter kostenlos abonnieren:

Prozessor, Chip, Arm, Gpu ipal GmbH