（文章來源：半導(dǎo)體投資聯(lián)盟）

隨著越來越多的用戶開始懷疑哪種處理器可以更好地保護(hù)自己的計(jì)算機(jī)、數(shù)據(jù)和在線活動(dòng)，英特爾和AMD之間的長(zhǎng)達(dá)數(shù)十年的斗爭(zhēng)近來已進(jìn)入一個(gè)新的層面。雖然一直以來，大部分普通用戶和網(wǎng)絡(luò)安全研究人員為過多的軟件漏洞擔(dān)心，而這些漏洞似乎永遠(yuǎn)不會(huì)消失。但是，在2018年1月開始，許多用戶和安全研究人員意識(shí)到，為我們的設(shè)備提供動(dòng)力的硬件并不像我們以前想象的那樣安全或沒有嚴(yán)重的安全問題。

這給我們留下了一個(gè)問題：哪個(gè)公司的處理器更安全？研究數(shù)據(jù)認(rèn)為英特爾目前有242個(gè)公開披露的漏洞，而AMD只有16個(gè)，看起來AMD的處理器安全得多，但是兩家公司在安全方面也分別進(jìn)行了一系列努力。

AMD CPU也受到PortSmash的影響，PortSmash是一個(gè)影響其同時(shí)多線程（SMT）功能的漏洞，該功能類似于英特爾的超線程。 AMD處理器也容易受到NetSpectre和SplitSpectre的攻擊，因?yàn)檫@些漏洞影響了處理器，而這些處理器也容易受到Spectre v1的攻擊，以及Spectre變體2的影響，該公司為此發(fā)布了更新，但它表示，與英特爾的設(shè)計(jì)相比，其架構(gòu)存在差異，“利用風(fēng)險(xiǎn)幾乎為零”。

AMD的芯片也會(huì)受到研究人員發(fā)現(xiàn)的七種新的Meltdown和Spectre攻擊中的五種的攻擊，英特爾的芯片則容易受到這七個(gè)漏洞的影響。AMD的CPU（包括最新的Ryzen和Epyc處理器）不受以下因素的影響：Meltdown (Spectre v3)、Spectre v3a、LazyFPU、TLBleed、Spectre v1.2、L1TF/Foreshadow、SPOILER、SpectreRSB、MDS attacks (ZombieLoad, Fallout, RIDL)、SWAPGS。

不難發(fā)現(xiàn)，與英特爾處理器相比，AMD的CPU似乎對(duì)推測(cè)執(zhí)行攻擊具有更高的靈活性。但是，與Spectre v1高度相似的缺陷似乎也繼續(xù)影響著AMD的處理器。好消息是，在大多數(shù)情況下，原始的Spectre v1固件緩解措施也可以防止這些新的漏洞。英特爾和AMD都針對(duì)上述所有缺陷發(fā)布了固件和軟件補(bǔ)丁，不過，如果更新過程取決于主板或設(shè)備制造商而不是英特爾/ AMD或OS供應(yīng)商，則并非所有缺陷都已經(jīng)到達(dá)用戶端，例如微軟，蘋果等。

在被大眾所知之前，芯片制造商大約有六個(gè)月的時(shí)間對(duì)原始的Spectre和Meltdown缺陷進(jìn)行警告。這引起了爭(zhēng)議，因?yàn)椴⒎撬?a href="http://www.1cnz.cn/v/tag/527/" target="_blank">操作系統(tǒng)供應(yīng)商都同時(shí)了解它們，有些廠商可能需要幾天或幾周的時(shí)間來解決這些錯(cuò)誤。根據(jù)最近的一份報(bào)告，英特爾必須提供的所有修補(bǔ)程序使用戶的PC和服務(wù)器速度降低了大約是AMD自己的修補(bǔ)程序的五倍。這是一個(gè)很大的差距，主要是因?yàn)橛⑻貭柋仨毐華MD解決更多的安全漏洞。

英特爾做出一些嘗試，通過硬件方式減緩旁道攻擊，但是被專家認(rèn)為不足以阻止類似新攻擊的出現(xiàn)。因此，如果英特爾，AMD和其他芯片制造商不愿意改變其CPU架構(gòu)的設(shè)計(jì)，那么用戶可能永遠(yuǎn)被Spectre級(jí)的旁道攻擊所困擾。

不過，英特爾正視圖通過芯片內(nèi)修復(fù)程序來修補(bǔ)某些漏洞。例如英特爾為MSBDS，F(xiàn)allout和Meltdown等許多新漏洞添加了新的基于硬件的緩解措施。AMD未在其已出貨的芯片中增加硅內(nèi)緩解措施，而是將其應(yīng)用于更新的型號(hào)中。值得指出的是，AMD不需要像英特爾一樣進(jìn)行多種改動(dòng)來抵御漏洞，因此它并不需要基于硬件的修補(bǔ)程序。

在研究人員披露了第一個(gè)Spectre漏洞之后，英特爾承諾將安全性放在首位。該公司已承諾減輕硬件中Spectre漏洞的危害，其中許多已經(jīng)落入當(dāng)前一代的處理器中。但是，最終這些只是對(duì)最初不應(yīng)該被破壞的問題的小規(guī)模修復(fù)，用戶尋求安全性，而不是修復(fù)已破壞的架構(gòu)。那么，關(guān)于用戶安全性，英特爾處理器還能提供什么呢？

Software Guard eXtensions（SGX）可能是英特爾近年來發(fā)布的最受歡迎，最先進(jìn)的處理器安全功能。SGX使應(yīng)用程序可以將諸如加密密鑰之類的敏感數(shù)據(jù)，存儲(chǔ)在主操作系統(tǒng)或其他第三方應(yīng)用程序無法訪問的硬件加密的RAM中的安全虛擬區(qū)域中。還采用了端到端加密的Signal Messenger這類應(yīng)用程序，以便它可以將用戶安全私密地配對(duì)。

英特爾最近還宣布了進(jìn)一步拓展SGX的計(jì)劃，以便它可以提供總內(nèi)存加密（TME），而不是像SGX那樣僅加密一小部分內(nèi)存。硬件內(nèi)存加密將為用戶帶來顯著的安全優(yōu)勢(shì)，因?yàn)檫@會(huì)使將來應(yīng)用程序更難竊取數(shù)據(jù)（授權(quán)的操作系統(tǒng)也對(duì)允許應(yīng)用程序共享數(shù)據(jù)的API進(jìn)行了嚴(yán)格限制）。但是，目前尚不清楚英特爾和AMD是否打算將此功能留給企業(yè)客戶使用，或者是否也將為主流用戶啟用。

英特爾在SGX上的動(dòng)作暫時(shí)領(lǐng)先于AMD，因此AMD在存儲(chǔ)加密方面已經(jīng)晚了。不過隨后AMD推出的Ryzen處理器既具有安全內(nèi)存加密（SME）功能，又具有安全加密虛擬化（SEV）功能，這些功能已經(jīng)并且仍然比英特爾先進(jìn)得多。TSME（Transparent SME）是SME的更嚴(yán)格子集，默認(rèn)情況下會(huì)加密所有內(nèi)存，并且不需要應(yīng)用程序以自己的代碼來支持它。

事實(shí)上，像英特爾的SGX一樣，SEV仍然容易受到旁道攻擊或其他利用加密密鑰訪問攻擊的攻擊。在確保這些功能幾乎不受攻擊方面，AMD和英特爾仍有許多工作要做。
（責(zé)任編輯：fqj）