日前,媒体报道澜起科技联合清华大学及 intel 研发的津逮 x86 国产服务器 CPU 开始批量供货。津逮 x86 服务器 CPU 是基于英特尔的 14nm skylake 微架构,是在标准的英特尔至强处理器的基础上,加入了清华大学的预检测(PrC)和动态安全监控(DSC)功能,可通过内建的安全监控引擎来实现高速 I/O 跟踪、内存访问跟踪、CPU 行为监控等功能。
津逮CPU其实就是在Intel CPU上加一个所谓的安全模块,是CPU+ASIC,CPU直接用英特尔的,ASIC国内单位自己做。通过写一个ASIC,澜起把安全向下做到硬件这一级,理论上会检查所有的指令,检查X86内核运行时行为是否与预期一致,若一致则执行,如果不符合预期定义的动作都不让执行。而运算功能则由Intel做的X86内核负责。
但这么一来,澜起的CPU部分其实就是Intel的内核,考虑到Intel的一系列高危漏洞10年不改,更不承认,直到2017年3月底安全研究者Maksim抓个现行后,Intel才表示:“十年来的产品都因高危漏洞存在安全隐患”的黑历史。
在CPU安全方面完全仰仗Intel是否靠谱依然是未知数。
何况,国内单位通过对某些国外X86 CPU的严格测试,可以确认存在功能不明确的“多余”模块,它不是一般意义的调试接口,而是由特定的CPU芯片引脚控制,可读写CPU内部状态寄存器、读写指定存储区域、激活特定的微代码段执行某个处理流程、并且可以对CPU进行复位。同时,还发现其存在未公开指令,包括加解密、浮点操作在内共计二十余条,其中,有三条指令在用户模式就可以使机器死机或重启,作用机制直接穿透各种软件保护措施,防护软件不能感知;普通应用程序中嵌入一条即可使系统宕机。
在这种情况下,加一个可重构计算处理器是否能真的实现100%安全,恐怕还需要时间去检验。
另外,澜起京逮CPU的AISC模块其实完全可以不和Intel的CPU封装在一起,完全可以分开,安装在主板上,而且这么一来,澜起在商业模式上,可以更加灵活——ASIC模块可以单独出售,也可和Intel的CPU一起搭配出售,甚至还可以和AMD、IBM等国外CPU搭配出售。就成本来说,也可以省去一笔额外的封装费用。为何硬要把英特尔的 skylake和安全模块封装在一起,司马昭之心路人皆知。
这款CPU性能是不错的,毕竟就是英特尔的skylake,不过媒体报道中将这款CPU称为国产,只让铁流感到无奈。曾经铁流对国产的概念是CPU源代码自己写。在国内ARM CPU风靡一时,并借此搞爱国营销后,国产的定义变成了买IP做集成设计SoC。如今,把skylake和一个安全模块封装在一起也成了国产,国产的下限被不断拉低,只能说京逮CPU重新定义国产CPU。
「 支持!」
WYZXWK.COM
您的打赏将用于网站日常运行与维护。
帮助我们办好网站,宣传红色文化!
欢迎扫描下方二维码,订阅网刊微信公众号
