OpenBSD禁用英特尔超线程以防止幽灵类攻击

面向安全的BSD操作系统OpenBSD决定禁用对英特尔超线程性能提升功能的支持，理由是对幽灵式定时攻击的安全担忧。

默认情况下，为提高性能，计算机上会启用超线程功能，但OpenBSD维护人员马克·凯特尼斯（Mark Kettenis）在周二发布的一篇详细帖子中表示，这种处理器实现可能会导致幽灵式的定时攻击。

“SMT（同步多线程）实现通常在线程之间共享TLB和L1缓存，”凯特尼斯写道。“这会使缓存定时攻击变得更容易，我们强烈怀疑这会使一些Spectre类漏洞被利用。”

在密码学中，侧通道定时攻击允许攻击者通过分析执行加密算法所需的时间来危害系统。通过测量每次操作所需的精确时间，攻击者可以反向计算输入值以泄露机密信息。

今年早些时候发现的熔毁和幽灵级漏洞将是定时攻击的绝佳例子。

因此，为了防止OpenBSD操作系统的用户受到之前披露的此类攻击，以及未来的定时攻击，OpenBSD项目在默认情况下禁用了英特尔处理器上的超线程功能，作为系统强化的一部分。

系统性能如何？

您可能会想，删除此优化功能可能会对系统的性能产生负面影响，但OpenBSD不这么认为。

Kettenis认为，关闭SMT不会对系统性能产生任何负面影响，他说，启用SMT实际上会降低具有两个以上物理内核的CPU上的大多数计算工作负载。

凯特尼斯还强调，OpenBSD还将在未来对AMD等其他供应商的CPU默认禁用内置SMT功能。

“我们真的不应该在同一内核的不同处理器线程上运行不同的安全域，”凯特尼斯写道。

OpenBSD推出了一个新的设置，通过“嗯。smt系统控制“默认情况下，这会禁用SMT支持，那些想要利用同步多线程功能的人可以手动启用它。

不过，新的切换功能目前仅适用于运行OpenBSD/amd64的英特尔CPU，不久将扩展到其他供应商和硬件架构。