（文章來源：半導體投資聯盟）

隨著越來越多的用戶開始懷疑哪種處理器可以更好地保護自己的計算機、數據和在線活動，英特爾和AMD之間的長達數十年的斗爭近來已進入一個新的層面。雖然一直以來，大部分普通用戶和網絡安全研究人員為過多的軟件漏洞擔心，而這些漏洞似乎永遠不會消失。但是，在2018年1月開始，許多用戶和安全研究人員意識到，為我們的設備提供動力的硬件并不像我們以前想象的那樣安全或沒有嚴重的安全問題。

這給我們留下了一個問題：哪個公司的處理器更安全？研究數據認為英特爾目前有242個公開披露的漏洞，而AMD只有16個，看起來AMD的處理器安全得多，但是兩家公司在安全方面也分別進行了一系列努力。

AMD CPU也受到PortSmash的影響，PortSmash是一個影響其同時多線程（SMT）功能的漏洞，該功能類似于英特爾的超線程。 AMD處理器也容易受到NetSpectre和SplitSpectre的攻擊，因為這些漏洞影響了處理器，而這些處理器也容易受到Spectre v1的攻擊，以及Spectre變體2的影響，該公司為此發布了更新，但它表示，與英特爾的設計相比，其架構存在差異，“利用風險幾乎為零”。

AMD的芯片也會受到研究人員發現的七種新的Meltdown和Spectre攻擊中的五種的攻擊，英特爾的芯片則容易受到這七個漏洞的影響。AMD的CPU（包括最新的Ryzen和Epyc處理器）不受以下因素的影響：Meltdown (Spectre v3)、Spectre v3a、LazyFPU、TLBleed、Spectre v1.2、L1TF/Foreshadow、SPOILER、SpectreRSB、MDS attacks (ZombieLoad, Fallout, RIDL)、SWAPGS。

不難發現，與英特爾處理器相比，AMD的CPU似乎對推測執行攻擊具有更高的靈活性。但是，與Spectre v1高度相似的缺陷似乎也繼續影響著AMD的處理器。好消息是，在大多數情況下，原始的Spectre v1固件緩解措施也可以防止這些新的漏洞。英特爾和AMD都針對上述所有缺陷發布了固件和軟件補丁，不過，如果更新過程取決于主板或設備制造商而不是英特爾/ AMD或OS供應商，則并非所有缺陷都已經到達用戶端，例如微軟，蘋果等。

在被大眾所知之前，芯片制造商大約有六個月的時間對原始的Spectre和Meltdown缺陷進行警告。這引起了爭議，因為并非所有操作系統供應商都同時了解它們，有些廠商可能需要幾天或幾周的時間來解決這些錯誤。根據最近的一份報告，英特爾必須提供的所有修補程序使用戶的PC和服務器速度降低了大約是AMD自己的修補程序的五倍。這是一個很大的差距，主要是因為英特爾必須比AMD解決更多的安全漏洞。

英特爾做出一些嘗試，通過硬件方式減緩旁道攻擊，但是被專家認為不足以阻止類似新攻擊的出現。因此，如果英特爾，AMD和其他芯片制造商不愿意改變其CPU架構的設計，那么用戶可能永遠被Spectre級的旁道攻擊所困擾。

不過，英特爾正視圖通過芯片內修復程序來修補某些漏洞。例如英特爾為MSBDS，Fallout和Meltdown等許多新漏洞添加了新的基于硬件的緩解措施。AMD未在其已出貨的芯片中增加硅內緩解措施，而是將其應用于更新的型號中。值得指出的是，AMD不需要像英特爾一樣進行多種改動來抵御漏洞，因此它并不需要基于硬件的修補程序。

在研究人員披露了第一個Spectre漏洞之后，英特爾承諾將安全性放在首位。該公司已承諾減輕硬件中Spectre漏洞的危害，其中許多已經落入當前一代的處理器中。但是，最終這些只是對最初不應該被破壞的問題的小規模修復，用戶尋求安全性，而不是修復已破壞的架構。那么，關于用戶安全性，英特爾處理器還能提供什么呢？

Software Guard eXtensions（SGX）可能是英特爾近年來發布的最受歡迎，最先進的處理器安全功能。SGX使應用程序可以將諸如加密密鑰之類的敏感數據，存儲在主操作系統或其他第三方應用程序無法訪問的硬件加密的RAM中的安全虛擬區域中。還采用了端到端加密的Signal Messenger這類應用程序，以便它可以將用戶安全私密地配對。

英特爾最近還宣布了進一步拓展SGX的計劃，以便它可以提供總內存加密（TME），而不是像SGX那樣僅加密一小部分內存。硬件內存加密將為用戶帶來顯著的安全優勢，因為這會使將來應用程序更難竊取數據（授權的操作系統也對允許應用程序共享數據的API進行了嚴格限制）。但是，目前尚不清楚英特爾和AMD是否打算將此功能留給企業客戶使用，或者是否也將為主流用戶啟用。

英特爾在SGX上的動作暫時領先于AMD，因此AMD在存儲加密方面已經晚了。不過隨后AMD推出的Ryzen處理器既具有安全內存加密（SME）功能，又具有安全加密虛擬化（SEV）功能，這些功能已經并且仍然比英特爾先進得多。TSME（Transparent SME）是SME的更嚴格子集，默認情況下會加密所有內存，并且不需要應用程序以自己的代碼來支持它。

事實上，像英特爾的SGX一樣，SEV仍然容易受到旁道攻擊或其他利用加密密鑰訪問攻擊的攻擊。在確保這些功能幾乎不受攻擊方面，AMD和英特爾仍有許多工作要做。
（責任編輯：fqj）