ส่งข้อความ

503 Service Temporarily Unavailable 503 Service Temporarily Unavailable nginx

March 11, 2021

ภัยคุกคามต่อความปลอดภัยของชิป DRAM

ช่องโหว่ DRAM ที่รู้จักกันดีที่เรียกว่า "rowhammer" ซึ่งทำให้ผู้โจมตีสามารถขัดขวางหรือเข้าควบคุมระบบยังคงหลอกหลอนอุตสาหกรรมชิปมีการทดลองวิธีแก้ปัญหาและกำลังเสนอแนวทางใหม่ ๆ แต่โอกาสที่จะเกิดการโจมตีครั้งใหญ่ยังคงมีอยู่

ค้นพบครั้งแรกเมื่อห้าปีที่แล้วความพยายามส่วนใหญ่ในการกำจัดภัยคุกคาม“ rowhammer” ทำได้มากกว่าการบรรเทาปัญหาเพียงเล็กน้อย

“ โรว์แฮมเมอร์เป็นปัญหาใหญ่” บาร์บาร่าไอชิงเกอร์รองประธานของ FuturePlus กล่าว“ ผู้ขายอ้างว่าได้รับการแก้ไขแล้ว แต่ก็ไม่ได้เป็นเช่นนั้นหากคุณดูเอกสารจำนวนมากที่ได้รับการตีพิมพ์ในปี 2020 คุณจะเห็นหลักฐานมากมายเกี่ยวกับเรื่องนี้”

มีหลายวิธีในการบล็อก rowhammer แม้ว่าจะยังไม่มีการยอมรับในวงกว้างว่ามีความชัดเจนและเด็ดขาดการลดขนาดสามารถพบได้ในระดับซอฟต์แวร์ระดับเบราว์เซอร์และในฮาร์ดแวร์ใน DRAM และตัวควบคุมหน่วยความจำแต่สิ่งเหล่านี้พยายามขัดขวางการโจมตีเท่านั้นพวกเขาไม่ได้แก้ปัญหาที่ต้นเหตุตอนนี้ บริษัท หนึ่งอ้างว่ามีวิธีแก้ปัญหา

ข้อมูลเบื้องต้นเกี่ยวกับ Rowhammer
Rowhammer เกิดขึ้นจากผลลัพธ์ที่ไม่ได้ตั้งใจของวิธีการสร้าง DRAMกระบวนการดังกล่าวเป็นวิธีที่สร้างขึ้นอย่างพิถีพิถันในการดึงบิตลงสู่ซิลิคอนให้ได้มากที่สุดโดยใช้เงินน้อยที่สุดเพียงแค่เปลี่ยนกระบวนการไม่ได้หมายความว่าจะทำได้ความจริงที่ว่าเราไม่สามารถปรับปรุงวิธีการสร้างหน่วยความจำจำนวนมหาศาลพร้อมกับคำมั่นสัญญาอย่างต่อเนื่องของการบรรเทาว่าเพียงพอ - ได้ป้องกันการแก้ปัญหาที่ต้นเหตุ

ปัญหาเกิดขึ้นที่ระดับแม่พิมพ์ตามผนังที่ถูกแกะสลักซึ่งเป็นส่วนหนึ่งของกระบวนการผลิตกระบวนการแกะสลักนั้นทิ้งความไม่สมบูรณ์หรือกับดักที่สามารถจับอิเล็กตรอนและยึดไว้ได้หากอิเล็กตรอนเหล่านั้นค้างอยู่ในกับดักสิ่งนี้อาจไม่ใช่ปัญหาใหญ่แต่ต่อมาในวงจรการเข้าถึงหน่วยความจำจะสามารถปลดปล่อยอิเล็กตรอนเหล่านั้นได้จากนั้นพวกมันสามารถล่องลอยไปรอบ ๆ และอาจไปจบลงที่เซลล์ใกล้เคียง

“ ทุกครั้งที่คุณหมุนแถวจากปิดเป็นเปิดเป็นปิดคุณจะได้รับอิเล็กตรอนเข้าไปในวัสดุพิมพ์” แอนดี้วอล์คเกอร์รองประธานฝ่ายผลิตภัณฑ์ของ Spin Memory กล่าว“ อิเล็กตรอนเหล่านี้บางส่วนจะโยกย้ายและถูกรับไปโดยโหนดใกล้เคียง”

ข่าว บริษัท ล่าสุดเกี่ยวกับ ภัยคุกคามต่อความปลอดภัยของชิป DRAM  0

รูปที่ 1: กับดักตามแก้มยาง (ซ้าย) จับอิเล็กตรอนที่ยังคงอยู่ที่นั่นชั่วคราว (ตรงกลาง)ต่อมาสามารถปล่อยและย้ายไปยังเซลล์อื่นได้ (ขวา)ที่มา: IEDM / Micron

DRAM bit cell ไม่มีอะไรมากไปกว่าตัวเก็บประจุที่เก็บประจุพร้อมกับวิธีการรับประจุเข้าและออกเมื่อเขียนและกำหนดว่ามีประจุอยู่เท่าใดเมื่ออ่านตัวเก็บประจุสามารถรั่วไหลได้และกระบวนการอ่านจะทำลายตัวเองดังนั้นตัวเก็บประจุจะต้องรีเฟรชค่าทันทีหลังจากอ่านหรือหากไม่ได้เข้าถึงเป็นเวลานานให้ใช้ความถี่ที่กำหนดไว้ล่วงหน้า

ประเด็นพื้นฐานที่นี่คือสถานะของเซลล์ถูกกำหนดโดยประจุบนตัวเก็บประจุและประจุนั้นมีความเสี่ยงระหว่างรอบการรีเฟรชอิเล็กตรอนที่ลอยอยู่สามารถย้ายเข้าไปในเซลล์ได้โดยเปลี่ยนประจุในเซลล์หากทำหลายครั้งมากเกินไปประจุเพียงพอจะสะสมเพื่อเปลี่ยนสถานะการรับรู้ของเซลล์

นี่คือที่ที่ส่วน "ค้อน" ของ rowhammer เข้ามาแนวคิดก็คือถ้าอ่านแถวที่ระบุได้เพียงพอก่อนที่จะเกิดการรีเฟรชการระเบิดขนาดเล็กซ้ำ ๆ ของอิเล็กตรอนที่ผิดพลาดเหล่านี้สามารถเปลี่ยนเซลล์ที่อยู่ใกล้เคียงได้ในความเป็นจริงในการประชุม IEDM เมื่อเร็ว ๆ นี้ Naga Chandrasekaran รองประธานอาวุโสฝ่ายพัฒนาเทคโนโลยีของ Micron ตั้งข้อสังเกตว่าด้วยขนาดที่หดตัวอาจไม่ใช่เฉพาะแถวใกล้เคียงเท่านั้นที่มีช่องโหว่เมื่อแถวเข้าใกล้กันมากขึ้นแม้แต่แถวที่อยู่ใกล้เคียงกันซึ่งอยู่ห่างออกไปสองแถวขึ้นไปก็อาจได้รับผลกระทบเช่นกัน

จากปรากฏการณ์สู่การโจมตี
ต้องใช้ความคิดที่ชาญฉลาดในการใช้ปรากฏการณ์นี้และค้นหาว่าจะใช้โจมตีระบบได้อย่างไรแม้ว่าจะยังไม่มีการโจมตีด้วยหมวกดำอย่างรุนแรง แต่ก็มีเอกสารทางวิชาการจำนวนมากที่แสดงให้เห็นว่านักเลงพายเป็นเครื่องมือในการควบคุมระบบ

“ การสาธิตการโจมตีที่น่าทึ่งบางอย่างกำลังยกระดับไปสู่สิทธิ์ระดับระบบที่สูงขึ้น (เช่นผู้ดูแลระบบ) การรูทโทรศัพท์ Android หรือควบคุมสิ่งที่ควรจะเป็นเครื่องเสมือนที่ได้รับการป้องกัน” จอห์นฮอลแมนผู้จัดการผลิตภัณฑ์ด้านความไว้วางใจและความปลอดภัยของ OneSpin กล่าว แนวทางแก้ไข

มองจากด้านบนของระบบลงและด้านล่างของชิปขึ้นไปมีความท้าทายใหญ่สองประการสิ่งหนึ่งอยู่ที่การรู้ว่าข้อมูลสำคัญของระบบอยู่ที่ใดในหน่วยความจำอีกอันต้องการความรู้ว่าแถวใดอยู่ติดกันรูปแบบเฉพาะของชิปมีความสำคัญและโดยปกติผู้ผลิตชิปจะเก็บไว้เป็นความลับคุณไม่สามารถสันนิษฐานได้ว่าการจัดเรียงทางกายภาพของหน่วยความจำที่สร้างโดยผู้ขายรายหนึ่งจะเหมือนกับของผู้ขายรายอื่น

ทั้งหมดนี้ทำให้ค้อนพายยาก แต่ก็เป็นไปไม่ได้ที่จะเปลี่ยนเป็นการโจมตีที่ทำงานได้ในขณะที่รายละเอียดเฉพาะของการโจมตีต่างๆจะถูกระบุไว้ในรายงานการวิจัยหลายฉบับที่มีรายละเอียดผลลัพธ์ตัวอย่างสองสามข้อแสดงให้เห็นว่าการควบคุมหน่วยความจำบางส่วนแบบสุ่มอย่างสมบูรณ์นั้นไม่ใช่เรื่องยาก แต่เป็นการควบคุมสถานที่เชิงกลยุทธ์ - และด้วยเหตุนี้การควบคุมระบบโดยรวม

สถานที่หนึ่งที่น่าสนใจในการกำหนดเป้าหมายคือตารางที่ใช้สำหรับการจัดการหน่วยความจำพวกเขากำหนดขอบเขตที่ตั้งใจไว้สำหรับกระบวนการต่างๆที่กำลังทำงานอยู่รวมถึงสิทธิ์ที่จำเป็นในการเข้าถึงการจัดสรรที่แตกต่างกันแทนที่จะโจมตีหน่วยความจำหลักการโจมตีตารางเพจเหล่านี้หมายความว่าด้วยการแก้ไขเพียงครั้งเดียวกระบวนการที่ถูก จำกัด อาจเปลี่ยนแปลงในลักษณะที่ทำให้หน่วยความจำมากขึ้น (หรือทั้งหมด) รวมถึงบล็อกที่ปลอดภัยซึ่งผู้โจมตีสามารถเข้าถึงได้ด้วยการเปลี่ยนแปลงเพียงครั้งเดียวตอนนี้ระบบได้เปิดขึ้นเพื่อการแสวงหาผลประโยชน์เพิ่มเติม

ในการกำหนดแถวที่จะตอก - แล้วตอก - การใช้แคชที่แพร่หลายทำให้ยากขึ้นหากคุณเขียนโปรแกรมเพียงแค่เข้าถึงตำแหน่งหน่วยความจำบางตำแหน่งซ้ำ ๆ คุณจะไม่ใช้ประโยชน์จากปรากฏการณ์ rowhammerนั่นเป็นเพราะการเข้าถึงหน่วยความจำครั้งแรกจะทำให้เนื้อหาถูกโหลดลงในแคชและสิ่งที่ตามมาทั้งหมดจะดึงออกจากแคชแทนที่จะอ่านหน่วยความจำซ้ำ

นั่นทำให้การเข้าถึงแคชเป็นส่วนสำคัญของการใช้ประโยชน์ใด ๆสามารถทำให้ง่ายขึ้นหรือยากขึ้นขึ้นอยู่กับโปรเซสเซอร์ที่ใช้เนื่องจากสถาปัตยกรรมที่แตกต่างกันมีนโยบายการขับไล่แคชที่แตกต่างกัน (และนโยบายที่กำหนดอย่างแท้จริงมีความเสี่ยงมากกว่า)อย่างไรก็ตามการพิจารณา adjacencies อาจเกี่ยวข้องกับการคำนวณเวลาอย่างละเอียดเพื่อพิจารณาว่าข้อมูลอยู่หรือไม่อยู่ในแคชหรือบัฟเฟอร์แถวภายใน DRAM

การโจมตีที่รุนแรงยิ่งขึ้นคือความจริงที่ว่าบิตหน่วยความจำบางส่วนมีความเสี่ยงที่จะถูกโจมตีมากกว่าส่วนอื่น ๆอาจมีสาเหตุที่กำหนดได้เช่นการทำให้พื้นที่ใดพื้นที่หนึ่งเป็นเป้าหมายที่เป็นไปได้ในชิปหลายตัวหรืออาจมีองค์ประกอบแบบสุ่มดังนั้นไม่ใช่ว่าทุกเซลล์หน่วยความจำจะตอบสนองต่อ rowhammer ในลักษณะเดียวกัน

ผลกระทบของโครงการเหล่านี้คือการรับรู้ว่านี่เป็นภัยคุกคามที่แท้จริงไม่ใช่ทางทฤษฎีและเป็นเพียงเรื่องของเวลาก่อนที่จะมีคนสร้างความเสียหายโดยเฉพาะอย่างยิ่งเมื่อมีการประมวลผลจำนวนมากย้ายไปที่คลาวด์ซึ่งสามารถเข้าถึงเซิร์ฟเวอร์และหน่วยความจำจำนวนนับไม่ถ้วนได้ จากทุกที่ในโลก

การลดขนาดและการเลี่ยง
ในปัจจุบันความพยายามที่มองเห็นได้ชัดเจนที่สุดในการตอบโต้นักเลงหัวขโมยไม่ได้แก้ปัญหาทางฟิสิกส์พื้นฐานของปัญหาพวกเขาให้วิธีการแก้ไขปัญหาและได้รับการปรับใช้ในหลายระดับ

ตัวอย่างเช่นการใช้เบราว์เซอร์เพื่อเข้าถึงเซิร์ฟเวอร์ระยะไกลทำให้อุตสาหกรรมเบราว์เซอร์กลายเป็นผู้มีส่วนได้ส่วนเสียเนื่องจากการโจมตีอาจเกี่ยวข้องกับการวัดเวลาอย่างละเอียดเบราว์เซอร์จึงลดความละเอียดอ่อนของเวลาที่มีอยู่ไม่สามารถรับความแม่นยำระดับนาโนวินาทีได้อีกต่อไปแต่อาจเป็นไมโครวินาที - ยังคงแม่นยำ แต่แม่นยำน้อยกว่าหนึ่งพันเท่าและเพียงพอที่จะ จำกัด วิธีการโจมตีเพียงวิธีเดียว

“ เบราว์เซอร์รายใหญ่ช่วยบรรเทาปัญหานี้หรืออย่างน้อยก็พยายามที่จะ” Alric Althoff วิศวกรความปลอดภัยฮาร์ดแวร์อาวุโสของ Tortuga Logic กล่าว“ การแก้ไขจริงหลายอย่างเป็นไปตามซอฟต์แวร์และตรงเป้าหมายมาก (เช่น Google Chrome ลดปัญหา GLitch ด้วยการลบส่วนขยายออกจากการใช้งาน webGL ในปี 2018)แต่ประเด็นสำคัญคือช่องโหว่ของฮาร์ดแวร์ที่ 'ไม่สามารถใช้ประโยชน์จากระยะไกลได้' กำลังรอเพียงการทดลองที่แสดงให้เห็นว่าสามารถทำได้และ 'ไม่สามารถใช้ประโยชน์ได้' หมายความว่าเราไม่สามารถคิดหาวิธี ทำการหาประโยชน์จากระยะไกลทันที”

ในเอกสารย้อนหลังมีการเสนอวิธีแก้ปัญหาในอุดมคติหกประการ“ โซลูชันหกประการแรก ได้แก่ 1) การผลิตชิป DRAM ที่ดีขึ้นซึ่งไม่มีช่องโหว่ 2) ใช้ (strong) error แก้ไขรหัส (ECC) เพื่อแก้ไขข้อผิดพลาดที่เกิดจาก rowhammer 3) เพิ่มอัตราการรีเฟรชสำหรับหน่วยความจำทั้งหมด 4) การแมปใหม่แบบคงที่ / การเลิกใช้เซลล์แถวแฮมเมอร์โดยใช้การวิเคราะห์หลังการผลิตเพียงครั้งเดียว 5) การรีแมป / การยกเลิกเซลล์แถวแฮมเมอร์แบบไดนามิกระหว่างการทำงานของระบบและ 6) ระบุแถวที่ถูกตอกอย่างแม่นยำในระหว่างรันไทม์และรีเฟรชเพื่อนบ้าน”

การบรรเทาปัญหาส่วนใหญ่มุ่งเน้นไปที่ข้อ 6 หมายเลข 1 จะเป็นการแก้ไขสาเหตุที่ต้องการหมายเลข 2 - ECC - สามารถใช้ได้ แต่มีข้อ จำกัด ที่เราจะพูดถึงในไม่ช้าหมายเลข 3 อาจดึงดูดใจ แต่ก็เป็นการไล่ตามอย่างต่อเนื่องโดยไม่มีจุดจบและตัวเลข 4 และ 5 สร้างความซับซ้อนระดับระบบอย่างมีนัยสำคัญ

การลดโฟกัสส่วนใหญ่อยู่ที่ระดับหน่วยความจำที่ต่ำกว่าโดยแบ่งระหว่างชิป DRAM และคอนโทรลเลอร์ที่อยู่ระหว่าง DRAM และระบบ“ ภายในวงจรการรีเฟรชจะมีหน้าต่างเมื่อการโจมตีดังกล่าวเกินค่าที่กำหนด” Vadhiraj Sankaranarayanan ผู้จัดการอาวุโสฝ่ายการตลาดด้านเทคนิคของ Synopsys กล่าว“ จากนั้นสามารถสร้างโซลูชันได้จากทุกที่ไม่ว่าจะเป็นที่คอนโทรลเลอร์หรือ DRAMต้องใช้ฮาร์ดแวร์ราคาแพงและต้องใช้พลังงานอย่างมากแต่เราต้องการให้หน่วยความจำปลอดภัยเพราะข้อมูลคือราชาที่นี่”

วิธีหนึ่งในการป้องกันการโจมตีคือการนับจำนวนการเข้าถึงในแถวที่กำหนดระหว่างการรีเฟรชหากเกินเกณฑ์แสดงว่าคุณไม่สามารถเข้าถึงได้อีกแม้ว่าแนวคิดนั้นอาจฟังดูเรียบง่าย แต่ก็ยากที่จะนำไปปฏิบัติไม่มีโมเดลที่ดีสำหรับความทรงจำที่ปฏิเสธการเข้าถึงที่ดูเหมือนจะถูกต้องตามกฎหมายดังนั้นจึงจำเป็นต้องมีการตัดสินใจกลับเข้าสู่ระบบว่าจะทำอย่างไรหากคำขออ่านถูกปฏิเสธนั่นหมายความว่าคอนโทรลเลอร์หยุดรอและลองอีกครั้งหรือไม่?ระบบปฏิบัติการเข้ามาเกี่ยวข้องหรือไม่?ในที่สุดแอปพลิเคชันจะล้มเหลวหรือไม่?

ความสามารถใหม่สองอย่างที่เพิ่มเข้ามาในมาตรฐานหน่วยความจำ JEDEC ได้ให้การตอบสนองอีกครั้งคุณลักษณะใหม่อย่างหนึ่งเรียกว่าการรีเฟรชแถวเป้าหมายหรือ TRRมีแนวคิดที่ว่าในขณะที่ DRAM ถูกตั้งค่าให้รีเฟรชหลังจากอ่านและตามกำหนดเวลากลไกที่ละเอียดกว่านั้นเป็นสิ่งจำเป็นสำหรับการดำเนินการรีเฟรชแถวเดียวตามความต้องการหากมีใครหรือบางสิ่ง - ในหน่วยความจำหรือในตัวควบคุมตรวจพบว่าการโจมตีอาจกำลังดำเนินอยู่มันสามารถรีเฟรชแถวที่ได้รับผลกระทบและย้อนกลับการตอกใด ๆ ที่อาจเกิดขึ้นจนถึงจุดนั้น

“ ผู้ควบคุมคอยตรวจสอบและหากสงสัยว่ามีการโจมตีแถวหรือแถวใดแถวหนึ่งผู้ควบคุมจะรู้ทันทีว่าเหยื่อที่เป็นไปได้คืออะไร” Sankaranarayanan กล่าว“ จากนั้นจะทำให้ DRAM อยู่ในโหมด TRR และสามารถส่งการรีเฟรชเชิงรุกไปยังแถวเหยื่อเหล่านั้นเพื่อป้องกันไม่ให้สูญเสียสถานะเดิม”

การตรวจสอบสามารถใช้งานได้ใน DRAM เองโดยเสียค่าใช้จ่ายตามขนาดและกำลังของแม่พิมพ์“ DRAM สามารถมีเคาน์เตอร์ได้เช่นกัน” Sankaranarayanan กล่าวเสริม“ มันหิวพลังงาน แต่บางแห่งก็มีเคาน์เตอร์ที่สามารถตรวจสอบการเข้าถึงแบบต่อเนื่องได้”

Zentel ขอเสนอวิธีแก้ปัญหาโดยอ้างถึง DRAM แบบ "ไม่ใช้ค้อนทุบ"“ สำหรับ DRAM 2Gb และ 4Gb DDR3 (โหนด 25 นาโนเมตร) Zentel ใช้รูปแบบการป้องกัน rowhammer ที่เป็นกรรมสิทธิ์ด้วยการรวมฮาร์ดแวร์แบบบูรณาการของตัวนับหลายตัวและ SRAM เพื่อตรวจสอบจำนวนการเปิดใช้งานแถวและเพื่อรีเฟรชแถวเหยื่อโดยเร็วที่สุด ถึงจำนวนแล้ว” Hans Diesing ผู้อำนวยการฝ่ายขายของ Zentel กล่าวสิ่งนี้ให้การตอบสนองที่ไม่ควรวัดผลกระทบประสิทธิภาพหรือมองเห็นได้ภายนอก DRAM

โซลูชันนี้มาพร้อมกับค่าใช้จ่าย“ โครงสร้างฮาร์ดแวร์ที่เพิ่มขึ้นจะช่วยเพิ่มอสังหาริมทรัพย์ประเภทชิปและเนื่องจากผลผลิตของเวเฟอร์น้อยลงจึงไม่สามารถแข่งขันด้านต้นทุนและราคาได้เมื่อเทียบกับอุตสาหกรรมอื่น ๆ ” เขากล่าวเสริม“ แต่เวอร์ชันที่ไม่ใช้แฮมเมอร์นี้ได้รับการออกแบบตามความต้องการของลูกค้าในอุตสาหกรรม HDD”

อย่างไรก็ตาม TRR ไม่ได้สร้างความพึงพอใจให้กับผู้เล่นทุกคน“ โดยทั่วไปแล้วผู้ขาย DRAM และผู้ขายอุปกรณ์ควบคุมต่างก็เป็นความลับเกี่ยวกับ TRR” คุณสัญกรณารยั ณ นันในความเป็นจริงแทนที่จะเป็นเพียงการบรรเทาทุกข์เพียงครั้งเดียว TRR ดูเหมือนจะเป็นร่มสำหรับการบรรเทาทุกข์หลายอย่างซึ่งหลายอย่างสามารถข้ามไปได้“ น่าเสียดายที่ TRR อธิบายถึงชุดวิธีการซึ่งหลายวิธีใช้ไม่ได้ผล” Althoff กล่าว“ ดังนั้นจึงไม่ใช่การบรรเทาทุกข์ แต่เพียงครอบครัวเดียวเท่านั้น”

แม้ว่า TRR อาจสามารถป้องกันด้านเดียว (แถวการโจมตีใกล้เคียงหนึ่งแถว) หรือสองด้าน (ทั้งสองแถวใกล้เคียงเป็นผู้โจมตี) แต่ก็ไม่สามารถช่วยป้องกันการโจมตี "หลายด้าน" ได้ - การทำงานหลายแถวในเวลาเดียวกัน .เครื่องมือได้รับการพัฒนาเพื่อช่วยในการปรับเปลี่ยนการโจมตีต่อหน้า TRR เพื่อให้ยังคงมีประสิทธิภาพ

รหัสแก้ไขข้อผิดพลาด (ECC) ยังเป็นวิธีแก้ปัญหาที่เป็นไปได้ความคิดที่มีแถวอาจเสียหาย แต่การทุจริตนั้นจะได้รับการแก้ไขในระหว่างกระบวนการอ่านออกนั่นอาจเป็นกรณีสำหรับแถวที่บิตเดียวหรือมากกว่านั้นเสียหาย แต่เนื่องจากค้อนอันเดียวทั้งแถวไม่ใช่เฉพาะชิ้นส่วนอาจมีข้อผิดพลาดมากกว่าที่ ECC จะสามารถแก้ไขได้“ การป้องกันหลักอย่างหนึ่งสำหรับการโจมตีนี้คือการแก้ไขรหัสข้อผิดพลาด (ECC) แม้ว่าตอนนี้ผู้โจมตีจะเริ่มระบุวิธีการป้องกันเหล่านี้แล้วก็ตาม” ฮอลแมนกล่าว

นอกจากนี้การใช้ ECC บางอย่างจะแก้ไขเฉพาะข้อมูลที่กำลังอ่านไม่ใช่ข้อมูลต้นฉบับในแถวการปล่อยบิตที่ไม่ถูกต้องไว้หมายความว่าการรีเฟรชในอนาคตจะเสริมสร้างข้อผิดพลาดเนื่องจากการรีเฟรชจะคืนค่าสิ่งที่มีอยู่แล้วแทนที่จะกู้คืนเป็นสถานะอ้างอิงสีทองที่รู้จักการหลีกเลี่ยงสิ่งนี้หมายถึงการใช้ ECC เพื่อกำหนดบิตที่ไม่ถูกต้องและแก้ไขในหน่วยความจำ

นอกจากนี้ยังมีคำสั่งคอนโทรลเลอร์ใหม่ที่เรียกว่าการจัดการการรีเฟรช (RFM)“ RFM อยู่ในมาตรฐาน JEDEC สำหรับ DDR5 แต่ยังไม่ได้รับการประเมินโดยกลุ่มเป้าหมายด้านความปลอดภัยในวงกว้าง” Althoff กล่าว“ ถึงแม้ว่ามันจะดูดีในเชิงแนวคิด แต่ก็ยังไม่ผ่านการทดสอบและก็ไม่ได้เป็นการบรรเทาที่เป็นที่รู้จัก แต่เป็นเพียงการสันนิษฐานเท่านั้น”

รูปแบบนี้ได้รับการเผยแพร่และการบรรเทาทุกข์อื่น ๆ ได้รับการเผยแพร่และโลกวิชาการก็ทำงานเพื่อพิสูจน์ว่าพวกเขายังคงสามารถหลีกเลี่ยงการบรรเทาทุกข์ได้และส่วนใหญ่พวกเขาถูกต้อง

ความกังวลเพิ่มเติมกำลังแพร่กระจายอยู่ในขณะนี้เนื่องจากการบรรเทาทุกข์ส่วนใหญ่มุ่งเน้นไปที่ระบบที่ใช้ CPUGPU อาจเป็นอีกทางเลือกหนึ่งในการโจมตีระบบดังนั้นจึงจำเป็นต้องให้ความสนใจเช่นกัน

“ อุตสาหกรรมได้ดำเนินการเพื่อบรรเทาภัยคุกคามนี้มาตั้งแต่ปี 2555 ด้วยเทคนิคต่างๆเช่น Target Row Refresh (TRR) ในส่วนของมาตรฐาน DDR3 / 4 และ LPDDR4 และการจัดการการรีเฟรช (RFM) ในข้อกำหนด DDR5 และ LPDDR5” เวนดี้เอลซาสเซอร์วิศวกรผู้เชี่ยวชาญกล่าว ที่ Arm.“ อย่างไรก็ตามแม้จะมีเทคนิคเหล่านี้และเทคนิคการบรรเทาอื่น ๆ เนื่องจากรูปแบบภายในของ DRAM เป็นกรรมสิทธิ์ แต่การโจมตีด้วยแฮมเมอร์จึงยากที่จะแก้ไขได้โดยเฉพาะ”

ปัญหาพื้นฐานสามารถแก้ไขได้หรือไม่?
จอกศักดิ์สิทธิ์ที่มีปัญหานี้เป็นวิธีที่จะหยุดการเคลื่อนย้ายอิเล็กตรอนไม่ให้รบกวนเซลล์การทำเช่นนั้นในลักษณะที่ไม่ทำให้กระบวนการ DRAM ทั้งหมดลดลงหรือทำให้ DRAM ไม่สามารถหาซื้อได้นั้นเป็นความท้าทายที่ยิ่งใหญ่นั่นเป็นเหตุผลว่าทำไมจึงมีการให้ความสำคัญกับการแก้ปัญหาทางอ้อมผ่านการบรรเทาทุกข์มากกว่าการแก้ปัญหาโดยตรงแต่ด้วยการบรรเทาภายใต้การโจมตีอย่างต่อเนื่องการแก้ปัญหาที่ต้นเหตุจะได้รับการต้อนรับ

“ นี่เป็นข้อโต้แย้งสำหรับการแก้ปัญหาฮาร์ดแวร์สำหรับปัญหาฮาร์ดแวร์” Althoff กล่าว“ หากฮาร์ดแวร์มีช่องโหว่การผลักดันความรับผิดชอบในการบรรเทาผลกระทบไปยังซอฟต์แวร์หรือระดับนามธรรมที่สูงกว่านั้นจะเทียบเท่ากับ [มีมยอดนิยมที่แสดงการรั่วไหลของน้ำโดยเสียบเทปพันสายไฟ]”

บริษัท หนึ่งอ้างว่าพบการแก้ไขดังกล่าว - อาจเกิดจากอุบัติเหตุSpin Memories (ก่อนหน้านี้ STT ผู้ผลิต MRAM) ได้สร้างตัวเลือกใหม่ที่จะช่วยลดพื้นที่ที่จำเป็นสำหรับเซลล์บิตหน่วยความจำเซลล์บิตจำนวนมากประกอบด้วยส่วนประกอบเดียว (เช่นตัวต้านทานตัวเก็บประจุหรือทรานซิสเตอร์) แต่พวกมันต้องการวิธีปิดเพื่อไม่ให้ถูกรบกวนโดยไม่ได้ตั้งใจเมื่อมีการเข้าถึงเซลล์อื่นที่เกี่ยวข้องด้วยเหตุนี้จึงมีการเพิ่มทรานซิสเตอร์“ ตัวเลือก” เพิ่มเติมเข้าไปในเซลล์บิตทุกเซลล์ทำให้เซลล์บิตมีขนาดใหญ่ขึ้น

Spin Memories พบว่าสามารถใช้หน้าหนึ่งจากหนังสือ 3D NAND - การทำให้ทรานซิสเตอร์ทำงานในแนวตั้งโดยมีประตูล้อมรอบและวางไว้ใต้เซลล์หน่วยความจำแทนที่จะอยู่ข้างๆการจัดเรียงแบบเรียงซ้อนนี้จะทำให้ขนาดของอาร์เรย์หน่วยความจำเล็กลง

“ จากนั้นสามารถใช้กับสวิตช์ตัวต้านทานเช่น ReRAM, CBRAM, CERAM และ PCRAM - ตัวต้านทานสองขั้วใด ๆ ที่ต้องใช้กระแสหรือแรงดันในการเปลี่ยน” วอล์คเกอร์กล่าว“ มันเป็นประตูแนวตั้งรอบ ๆ ทรานซิสเตอร์โดยอาศัย epitaxy ที่เลือกเป็นอุปกรณ์ไฟฟ้าแรงสูงใน 3D NAND ที่เราปรับให้เข้ากับแอปพลิเคชันแรงดันไฟฟ้าต่ำของเราต้องใช้ไดรฟ์สูงและมีการรั่วไหลต่ำซึ่งสิ่งที่แปลในวัสดุศาสตร์ก็คือช่องสัญญาณของอุปกรณ์จะต้องเป็นผลึกเดี่ยว”ดังนั้น epitaxy มากกว่าการสะสม

สิ่งนี้ทำให้ทรานซิสเตอร์มีคุณสมบัติที่สำคัญสองประการที่ทำให้มันเป็นคู่แข่งสำหรับโซลูชันแฮมเมอร์แบบเต็มประการหนึ่งคือซิลิกอนที่ใช้นั้นเติบโตขึ้นเหนือเวเฟอร์แทนที่จะถูกฝังลงในเวเฟอร์เนื่องจากการแกะสลักเป็นแหล่งที่มาหลักของกับดักที่จับอิเล็กตรอนในตอนแรกการกำจัดไซต์กับดักเหล่านั้นจึงช่วยลดหรือแม้แต่กำจัดแหล่งที่มาของปัญหาได้อย่างมาก

ลักษณะที่สองคือชั้น n-type ที่ถูกฝังไว้ซึ่งสกัดกั้นอิเล็กตรอนที่หลงทางได้อย่างมีประสิทธิภาพไม่ว่าจะมาจากแหล่งใดก็ตามโดยรบกวนเซลล์บิตหากคลอดออกมาจะเป็นการปิดกลไกของ rowhammer อย่างมีประสิทธิภาพ

ข่าว บริษัท ล่าสุดเกี่ยวกับ ภัยคุกคามต่อความปลอดภัยของชิป DRAM  1

รูปที่ 2: ทางด้านซ้ายอิเล็กตรอนที่ติดอยู่บนเซลล์ตัวรุกสามารถลอยไปยังเซลล์ข้างเคียงและเปลี่ยนประจุบนตัวเก็บประจุทางด้านขวาโครงสร้างที่เสนอใหม่ใช้ epitaxy สร้างไซต์กับดักน้อยลงและพื้นที่ที่เจือด้วย n จะบล็อกอิเล็กตรอนที่หลงผิดไม่ให้เข้าถึงเซลล์บิตที่มา: Spin Memory

Spin ร่วมกับ NASA และ Imec กำลังเผยแพร่เอกสาร (หลัง paywall ในปัจจุบัน) ซึ่งจะให้รายละเอียดเกี่ยวกับการแก้ปัญหาเช่นเดียวกับข้อเสนอดังกล่าวข้อเสนอดังกล่าวจะต้องหมุนเวียนไปในชุมชนด้านความปลอดภัยโดยต้องเผชิญกับความท้าทายและการทดสอบก่อนที่จะได้รับการยอมรับเป็นขั้นสุดท้าย

การพิสูจน์ประสิทธิภาพของการบรรเทานั้นไม่ใช่เรื่องง่ายโดยต้องมีการสร้างแบบจำลองการโจมตีอย่างรอบคอบ - อย่างน้อยก็เป็นที่รู้จัก“ ด้วยการใช้เครื่องมือฉีดและตรวจจับข้อผิดพลาดของเราเราสามารถทำงานร่วมกับลูกค้าเพื่อสร้างแบบจำลองการโจมตีและแสดงให้เห็นถึงผลกระทบที่มีต่อหน่วยความจำ” ฮอลแมนกล่าว“ สิ่งนี้สามารถระบุพื้นที่ที่ข้อมูลยังคงรั่วไหลได้”

การพิสูจน์ประสิทธิภาพของการแก้ไขระดับซิลิกอนจากหลักการแรกก็เป็นสิ่งที่ท้าทายเช่นกัน“ DRAM เป็น IP ที่ยากและการโจมตีใช้ประโยชน์จากฟิสิกส์ดังนั้นคุณจึงต้องการบางสิ่งที่แม่นยำเกี่ยวกับคำสั่งของ SPICE หรือทางเลือกที่กำหนดเป้าหมายเพื่อตรวจสอบด้วยความมั่นใจก่อนซิลิกอน” Althoff กล่าว

แต่การพิสูจน์ทั้งการบรรเทาและการแก้ไขเป็นสิ่งที่จำเป็นในอุตสาหกรรมที่ต้องระวัง“ สปินไม่ใช่คนแรกที่พยายามผลิต DRAM ที่มีภูมิคุ้มกันแบบพายเรือ” Aichinger ของ FuturePlus ตั้งข้อสังเกต“ กลยุทธ์การบรรเทาผลกระทบใหม่ ๆ กำลังอยู่ระหว่างการหารือและคุณควรได้รับฟังเพิ่มเติมเกี่ยวกับเรื่องนี้ในปี 2564” (จาก Mark)

รายละเอียดการติดต่อ