推测执行攻击

玻尔百科

核心要点

现代CPU通过推测执行来提升性能，这会产生瞬态指令，可能通过缓存等微架构侧信道泄露秘密。
Spectre攻击诱骗CPU推测性地执行合法但不安全的代码路径，而Meltdown则利用硬件权限检查缺陷来瞬态访问受保护的内存。
信息论为量化通过这些含噪声的侧信道泄露的秘密数据量提供了一个框架。
缓解措施涉及硬件（屏障）、操作系统（KPTI）和编译器的跨层协作，这引入了安全与性能之间一个根本且不可避免的权衡。
这些攻击将系统安全与密码学联系起来，凸显了常数时间编程以及跨越所有抽象层建立整体安全观的重要性。

引言

每一台现代计算机的核心都存在一种根本性的张力：程序员所见的简单有序世界与处理器内部复杂高速的现实之间的张力。为达到惊人的速度，CPU不仅仅是逐一执行指令；它们会预测未来，沿着可能的程序路径提前冲刺，这一过程被称为推测执行。这项优化是性能的基石，但它也打开了安全漏洞的潘多拉魔盒，重塑了我们对数字安全的理解。这些推测执行攻击利用了错误预测留下的幽灵般的足迹，将一项性能特性转变为窃取机密的强大工具。

本文将深入探讨这些漏洞的奇异而精妙的世界。它将在计算的抽象模型与这些攻击发生的微架构物理现实之间架起一座桥梁。您将了解到攻击者如何操控处理器预测机制，以泄露本应无法访问的敏感数据。在两个主要章节中，我们将首先剖析这些攻击背后的核心概念，然后探讨它们对整个计算行业产生的巨大影响。我们的旅程始于探索瞬态执行的核心原理与机制，详细介绍像Spectre和Meltdown这样的标志性攻击的机理。随后，我们将审视其深远的应用和跨学科联系，揭示这些发现如何迫使我们在处理器设计、操作系统乃至更广阔的领域对安全性进行根本性的反思。

原理与机制

要理解推测执行攻击这个奇异而精妙的世界，我们必须首先领会现代计算机核心处存在的一种根本性张力：我们编程时所处的优雅简洁的世界，与处理器内部混沌狂热的现实之间的张力。

指令集架构（ISA）是程序员眼中的计算机。它是一个秩序井然的世界，一份承诺你的指令将按照你编写的顺序逐一执行的契约。一条指令完成，其对寄存器和内存的影响变为永久性的，然后下一条指令才开始执行。这是一个平静、可预测且合乎逻辑的宇宙。

但在芯片内部，微架构讲述的则是另一番景象。为达到我们所要求的高速度，现代处理器不像一个纪律严明的士兵，而更像一个所有专家同时工作的、高度亢奋的作坊。它会预读程序、重排指令，并对未来做出有根据的猜测，所有这一切都是为了不懈地追求效率。这一策略的核心支柱是推测执行：如果处理器不确定程序接下来会走哪条路，它不会等待——它会预测最可能的路径并冲下去，"凭推测"执行指令。

如果预测正确，就节省了大量时间。如果预测错误，处理器就像一个在蓝图上发现错误的勤勉工人。它会停下来，扔掉所有推测性完成的工作，将其官方记录——即架构状态——回滚到最后一个已知的正确点，然后从正确的路径重新开始。从程序员所处的有序ISA世界来看，仿佛什么都没发生过。但我们的故事正始于此，因为清理工作并不总是完美的。

CPU：一位算命师

为了进行推测，处理器必须能预测未来。这在分支——程序路径的岔路口——处最为关键。例如，一个简单的if语句会被编译成一个条件分支指令。处理器应该执行if代码块还是跳过它？等待结果太慢，预测则很快。

为此，CPU使用一个分支预测单元（BPU），这是一项如同算命师般的微架构魔法。对于简单的条件分支，它可能会使用一个模式历史表（PHT）。想象一下，你代码中的每个分支都留下了一串面包屑（它的结果历史）。PHT从这条踪迹中学习，形成强烈的偏好。如果一个分支几乎总是被执行（taken），PHT就会高置信度地预测"执行"。攻击者可以利用这一点来"训练"预测器——通过多次运行一个循环，其输入使某个分支走向同一方向，从而建立起预测器的偏好。

那么对于更复杂的分支，比如一个目标地址可变的函数指针调用呢？对于这些，处理器使用一个分支目标缓冲（BTB），它就像一个备忘录，将间接分支的地址映射到它上次跳转到的地址。通过控制哪些目标被看到，攻击者可以"毒化"这个备忘录，使CPU推测性地跳转到一个恶意位置。

你可能会认为，以今天的技术，这些预测器必定近乎完美。它们确实如此！一个现代分支预测器的准确率可以超过99%。但"近乎完美"不等于"完美"。在一个CPU每秒执行数十亿条指令的世界里，1%的错误率就是滔滔不绝的机会。如果一个程序执行一百万次分支，即使是准确率为 $a=0.99$ 的预测器，平均也会错误预测 $10^6 \times (1-0.99) = 10000$ 次。这是一万个通往错误执行的幽灵世界的窗口，足以发起一次高速攻击。

机器中的幽灵：瞬态执行

当一个预测被证明是错误的，处理器会清除（squash）这项推测性工作。这些幽灵指令的结果永远不会被提交到架构状态中。它们是幽灵；它们从未正式存在过。

但这些幽灵会留下足迹。在执行过程中，这些瞬态指令与处理器的内部环境——它的微架构状态——发生交互。最著名的例子是缓存，即CPU的高速本地内存。当一条指令推测性地从一个内存地址加载数据时，该数据会被带入缓存以加速未来的访问。当推测被发现错误且指令被清除时，其架构层面的结果被丢弃了。但物理数据通常仍留在缓存中。

这就是关键所在。攻击者随后可以通过计时内存访问来"探测"缓存。访问已在缓存中的数据（缓存命中）远快于从主内存中获取数据（缓存未命中）。通过测量这些微小的时间差异，攻击者可以构建一张幽灵留下的足迹图，从而创建一个缓存侧信道。他们可以了解到在瞬态执行期间哪些内存地址被访问过，尽管没有任何指令在架构层面上从这些地址读取过数据。

这些并非只是理论上的担忧。现实中的机密就是这样被窃取的。

两种攻击的故事：Spectre与Meltdown

虽然Spectre和Meltdown都利用了瞬态执行，但它们本质上是两种不同的野兽，就像两种不同类型的鬼故事。一个关乎被欺骗，另一个则关乎建筑设计的缺陷。一个绝妙的思想实验阐明了这一点：想象一个拥有完美、全知预测器的CPU。在这样的世界里，Spectre会消失，但Meltdown依然存在。

Spectre：欺骗算命师

Spectre类攻击的核心在于操控CPU的预测器。攻击者诱使CPU推测性地执行一段在架构上有效、但不应该使用攻击者选择的输入来执行的代码路径。典型的例子是边界检查绕过（Spectre-v1）。

想象一下受害者程序中的一段代码： if (x array_size) { y = array[x]; }

这是一个安全检查。程序确保索引x在使用前位于数组的边界之内。攻击者首先训练分支预测器，让它认为x总是合法的。然后，他们用一个越界的x调用该函数，该x指向内存中的一个秘密（例如，x = address_of_secret - address_of_array）。CPU信任其训练有素的预测器，推测性地执行y = array[x]。这条瞬态指令将秘密字节加载到一个寄存器中。随后的一条瞬态指令便可利用这个秘密字节来访问一个探测数组中的某个缓存行，例如，通过访问probe_array[y * 4096]。当CPU意识到其预测错误时，它会清除所有操作。但足迹——probe_array中被缓存的行——依然存在，泄露了秘密值y。

关键在于攻击者没有违反任何规则；他们是在利用CPU自身的性能机制来反制它。他们让CPU错误预测控制流，并推测性地执行一条有效但并不安全的代码路径——一个"小工具"（gadget）。同样的原理也适用于欺骗分支目标缓冲（Spectre-v2），甚至内存依赖预测器（Spectre-v4）。

Meltdown：无法无天的瞬间

Meltdown并非预测失败。它是一个与权限检查相关的硬件竞争条件。你的计算机操作系统内核存在于受保护的内存中，这是一个普通用户程序无法访问的保险库。内存管理硬件中的用户/管理者（U/S）位强制执行这种隔离。如果用户程序试图读取内核内存，硬件应该会发出警报——一个故障（fault）或异常（exception）。

Meltdown之所以能够得逞，是因为在某些处理器上，当用户程序尝试非法读取内核地址时，乱序执行逻辑会去获取数据，甚至可能在权限检查完成并发起警报之前，就将数据转发给依赖于它的指令。在一个短暂的瞬态窗口内，CPU进入一种无法无天的状态，用非法获取的数据执行指令。

攻击序列很简单：一条瞬态指令试图从一个内核地址读取一个秘密。CPU获取了这个秘密。第二条瞬态指令立即用这个秘密去访问一个缓存行。然后，警报终于响起。CPU清除了非法操作并引发一个故障。但为时已晚。秘密的足迹已经留在了缓存中。Meltdown不需要训练预测器；它是一种对基本安全边界的直接、粗暴的瞬态绕过。

信息的低语

从侧信道泄露的信息很少是完美、干净的信号。它通常充满噪声，就像在拥挤的房间里试图听清一句耳语。由于其他进程、系统中断和微架构的随机性，一次缓存命中可能有时看起来像未命中，反之亦然。

那么，到底泄露了多少信息？信息论为我们提供了一个强有力的视角。我们可以将侧信道建模为一个二元对称信道（BSC），这是一个经典概念，其中传输的一个比特有一定概率 $q$ 被翻转。秘密与攻击者带噪观察之间的泄露量，即互信息 $\lambda$ ，可以被精确量化。对于一个由 $b$ 个独立比特组成的秘密，每个比特都通过一个相同的含噪信道，总泄露量由以下优美的公式给出：

$\lambda = b \left( 1 - H_2(q) \right)$

其中， $H_2(q) = -q \log_2(q) - (1-q) \log_2(1-q)$ 是二元熵函数。这个方程优美地捕捉了泄露的本质：获得的信息等于初始总不确定性（ $b$ 比特）减去因信道噪声而仍然存在的不确定性（每比特 $H_2(q)$ ）。它告诉我们，信息泄露不是一个全有或全无的事情，而是一个可测量的信息流。

幽灵的多重声音

虽然我们主要关注了数据缓存，但瞬态执行的幽灵足迹也可能出现在许多其他地方。如果一个程序的控制流依赖于一个秘密——if (secret_bit == 0) { ... } else { ... }——那么推测执行就可能在指令缓存中留下痕迹。攻击者可以使用针对指令缓存的“预取-探测”（prime-and-probe）攻击来了解哪条代码路径被推测性地执行了，从而揭示秘密比特。

在那些可以在单个核心上运行多个线程（同步多线程或SMT）的处理器上，情况变得更加微妙。如果两条推测路径使用了不同类型的执行单元（例如，一个进行浮点运算，另一个进行整数运算），它们会产生不同的资源争用模式。在同一核心上运行的间谍线程可以测量自己操作的性能，以检测这种争用，并推断受害者线程推测性地走了哪条路。微架构状态是巨大的，几乎任何共享且具有状态依赖时序的部分都可以被变成侧信道。

数据依赖的力量

这些漏洞的发现揭示了一个微妙但深刻的计算机体系结构原理。CPU被构建为可以跨越控制依赖（如if语句）进行推测，但被设计为严格遵守真数据依赖（写后读）。一条需要前一条指令结果的指令必须等待那个结果。它不能猜测那个值。

这为一种强大的软件缓解措施指明了方向。边界检查绕过的漏洞之所以产生，是因为危险的加载array[x]只对if语句存在控制依赖。我们可以通过将其转化为数据依赖来修复它。我们可以使用无分支算术来净化索引，而不是使用分支：

计算一个掩码：mask = (x array_size) ? 1 : 0;（这可以通过特殊指令完成）。
应用掩码：sanitized_x = x * mask;
执行加载：y = array[sanitized_x];

现在，加载指令对sanitized_x有了一个真数据依赖，而sanitized_x又依赖于边界检查产生的mask。处理器的乱序执行引擎在边界检查完成且索引被净化之前，甚至无法开始计算加载的地址。如果提供了一个越界的x，sanitized_x会变成0，CPU会安全地从array[0]读取数据。推测攻击被挫败了，不是通过屏障或栅栏，而是通过利用处理器自身关于数据流的基本规则。这个优雅的解决方案揭示了性能与安全之间的深层统一，在我们接下来审视为了驱除机器中的这些幽灵而开发出的各种缓解措施时，我们将进一步探讨这个主题。

应用与跨学科联系

在窥探了推测执行那既是预测又是悖论的精妙舞蹈之后，我们可能会想把这些知识当作计算机科学中一个引人入胜但深奥难懂的片段收藏起来。那将是一个错误。推测执行攻击的发现并非一次小震动；它是一场地震，其冲击波贯穿了计算堆栈的每一层。它永久性地改变了我们设计处理器、编写操作系统、构建编译器，乃至思考安全本身的方式。这不仅仅是一个关于巧妙漏洞的故事；这是一个关于数字世界中信息与控制基本性质的故事，揭示了一种从硅原子一直到我们日常使用的应用程序的美妙、有时甚至是可怕的相互关联性。

这片新图景的中心主题是性能与安全之间一个持续且不可避免的权衡。几十年来，目标很简单：更快。现在，我们必须时常自问：“更快，但以何种安全为代价？”这个问题在我们即将探讨的每一个学科中回响。

芯片战场：反思处理器设计

故事始于计算的源头：处理器的芯片核心。我们讨论过的漏洞并非典型意义上的缺陷——它们不是简单的逻辑错误。相反，它们是不懈追求性能的设计所产生的涌现属性。想象两种假想的处理器设计。设计 $P$ 是谨慎的；它在开始获取数据之前，会执行所有安全检查，比如验证内存权限。它安全，但缓慢。设计 $Q$ 则是个乐观主义者；为了节省时间，它并行开始获取数据，假设权限检查会通过。如果检查后来失败了，它就简单地丢弃数据，假装什么也没发生。从架构上看，没有规则被打破。但在微架构层面，被禁止数据的短暂、幽灵般的踪迹可能已留在系统的缓存中。这种“乐观主义”正是像Meltdown这类漏洞的根源。

这些泄露的发现迫使处理器设计发生了哲学上的转变。既然我们不能简单地放弃高性能设计，硬件就必须提供新的工具，让软件能够控制处理器的推测冲动。这导致了新指令的引入，我们可以把它们看作是“屏障”。像LFENCE（Load Fence）这样的指令就像一个推测屏障，向处理器发出一道坚定的命令：“停下。在所有先前的决策，如分支结果，被确定无疑之前，不要执行此点之后的任何操作。”另一个是推测性存储绕过屏障（SSB），它防止一个较新的加载操作在对同一位置的较旧存储操作完成之前，推测性地读取过时的数据。

这些屏障是安全的新基石。它们必须被外科手术般精确地放置在系统中最关键的节点——尤其是在用户程序和操作系统内核之间神圣的边界上。当一个程序进行系统调用（ECALL）时，它跨越了一个权限边界。为了防止用户世界的推测性混乱溢出并影响受信任的内核（或者在返回时反之亦然），需要一个强大的序列化屏障来净化处理器状态，从而在两个域之间创建一个安全的“气闸”。芯片本身也必须学习一种新的安全语言。

系统的守护者：前线上的操作系统

随着硬件提供了这些新工具，责任转移到了操作系统——计算机资源的守护者。为了防御这些新威胁，操作系统不得不进行彻底的“外科手术”。其中最引人注目的是内核页表隔离（KPTI）的开发，这是对Meltdown的直接回应。

要理解KPTI，可以想象操作系统内核是一个绝密的政府设施。在KPTI之前，每一张城市地图（进程的地址空间）都包含了这个设施的位置。虽然它有高墙（权限位）保护，但其位置是已知的。Meltdown表明，一个推测性的间谍可以“瞥见”墙内。KPTI的解决方案是深刻的：它给用户程序一张完全独立的、经过编辑的地图，这张地图上甚至不显示那个设施。内核的位置就这么消失了。只有当处理器进入内核的受信任域时，它才会切换到一张完整的、未经删节的地图。

这种地图切换必须完美无瑕地执行。一小段经过高度优化的代码，通常被称为“跳板”（trampoline），负责管理这个转换过程。这段代码必须是精心构建的杰作，因为它在一个微妙的状态下运行：它拥有内核权限，但仍在使用用户的删节版地图。任何一个错误的举动，任何在地图切换完成前试图解引用内核地址的尝试，都可能使其自身成为推测性泄露的源头。

除了这一宏大的架构变更，操作系统开发者还必须审计和加固无数位于用户-内核边界的关键例程。考虑一个像[copy_from_user](/sciencepedia/feynman/keyword/copy_from_user)这样的函数，它将数据从用户提供的地址复制到内核中。一个恶意程序可以提供一个指针，它表面上看起来有效，但其构造却是为了在一次错误预测中推测性地读取敏感的内核数据。修复方法是一个纵深防御的绝佳例子：首先可以插入一个推测屏障（LFENCE）来停止推测执行，然后，作为第二道防线，使用算术掩码来确保即使推测发生，该指针也被强制指向一个安全、无害的地址（如零）。这就像既在门口设置了警卫，又确保门后的走廊通向无危险之处。

无形的设计师：编译器的双重角色

在操作系统和我们编写的应用程序之间，是编译器——那个将我们的抽象意图转化为具体机器语言的无形设计师。在推测执行时代，编译器被揭示出扮演着一个关键且常常令人惊讶的双重角色。

首先，它可能是一个不知情的帮凶。考虑一种名为“边界检查消除”的标准编译器优化。对于一个访问数组A的循环，一个安全的编译器会在每次迭代时插入检查，以确保访问在边界内。一个聪明的编译器可能会意识到，“我能证明索引总是在边界内”，然后为了提升性能而消除这个检查。这很好。但如果编译器无法证明安全性呢？检查就会被保留。而正是这个检查，一个条件分支，可能被错误预测，从而创造出一个Spectre小工具。矛盾的是，一个“更安全”但优化程度较低的编译版本可能更容易受到攻击。反之，如果编译器能够证明安全性并消除了检查，它同时也消除了那个位置的漏洞——分支小工具消失了。一项常规的优化突然变成了一个关乎安全的关键决策。

这一认识促使编译器扮演了第二个角色：一个关键的防御者。编译器现在处于部署缓解措施的前沿。但这远非易事。想象你告诉编译器插入一个安全屏障。编译器在不懈追求优化的过程中，可能会将这个“屏障”看作一条没有明显架构效果的指令，并简单地移动它或完全消除它！。

为了解决这个问题，我们需要一种方法，让安全需求成为编译器世界中的一等公民。这促使了对安全原语的复杂分类学的发展。ISA可能不再提供单一、笨重的屏障，而是提供更弱、更局部的“注解”，仅约束单个加载指令。编译器的任务是选择能完成任务的最弱（因此性能最高）的原语。对于一个简单的受保护读取，一个局部注解就足够了。对于一个对不透明、未知函数的调用，编译器别无选择，只能使用一个强大的全局屏障，以防止整个函数被推测性地执行[@problem_-id:3678690]。为了确保这些指令得到遵守，现代编译器使用先进技术，例如在其中间表示中使用显式的数据流“令牌”，来创建一条不可破坏的依赖链，从而强制优化过程尊重安全顺序。

不可避免的权衡：安全的代价

所有这些缓解措施，从硬件屏障到KPTI，再到编译器插入的防护，都伴随着一个代价：性能。安全不是免费的。我们甚至可以建立简单的模型来量化这个代价。每秒的总开销就是每种事件类型（如系统调用或上下文切换）的成本乘以其发生频率的总和。

例如，有了KPTI，每次系统调用和上下文切换都变得更加昂贵，因为切换“地图”（页表）会带来开销，并对CPU的地址转换缓存（TLB）造成干扰。通过对此建模，我们可以推导出相对性能损失的表达式。对于一个假想的工作负载，这可能看起来像 $\Delta(f) = \frac{1.75 \times 10^{8} + (5.0 \times 10^{3}) f}{6.0 \times 10^{8} + (1.8 \times 10^{4}) f}$ ，其中 $f$ 是上下文切换的频率。这种模型的美妙之处在于，它表明成本不是一个单一的数字；它取决于工作负载的特性。一个有大量系统调用但很少上下文切换的程序所经历的性能下降百分比，将与一个具有相反特征的程序不同。

类似地，我们可以为编译器缓解措施（如retpoline）的成本建模，它用一个更安全但更慢的序列替换了易受攻击的间接分支。其开销是执行的间接分支数量以及缓解措施引起次生效应（如导致CPU的返回栈缓冲填充不足）频率的函数。对于给定的工作负载，这可能会增加数千万或数亿个周期的开销。这些分析不仅仅是学术性的；对于那些必须决定是启用缓解措施并接受性能损失，还是禁用它并接受风险的工程师来说，它们至关重要。

更广阔的视野：与密码学及其他领域的联系

也许推测执行攻击的发现最深远的影响在于它如何将计算机科学中原本不相干的领域联系起来。多年来，密码学家一直担心时间侧信道，攻击者可以通过精确测量加密所需的时间来获知密钥，而不是通过破解数学难题。一个经典的例子是使用查找表的AES实现。如果所需数据在缓存中（命中），对表的访问可能很快；如果不在（未命中），则很慢。这些时间上的变化可以泄露关于访问了哪些表条目的信息，进而泄露关于密钥的信息。

本质上，用于利用推测执行的技术是一种新型且强大的侧信道攻击。其基本原理是相同的：通过隐藏的微架构状态的变化来泄露信息。这一认识将系统安全的世界与密码学连接了起来。

令人高兴的是，这座桥梁是双向的。在一个领域中开发的解决方案可以为另一个领域提供启示。例如，在密码学中防御缓存时间攻击的最佳方法是编写“常数时间”代码——即执行时间和内存访问模式不依赖于任何秘密数据的代码。实现这一目标的最强大工具之一是AES-NI指令集，这是一个硬件特性，它在专用的、对数据不敏感的芯片中实现了核心的AES操作。通过使用单个AESENC指令，而不是一系列易泄露的表查找，程序员可以从源头上消除侧信道。

这指向了一个充满希望的未来。虽然推测执行攻击揭示了我们构建计算机方式的一个深层缺陷，但它们也给了我们一个至关重要的教训。硬件、操作系统、编译器、应用程序这些整洁的抽象层是一个方便的模型，但它们并非坚不可摧的墙壁。计算机的宇宙是一个单一的、深度互联的系统。处理器流水线中一个瞬态的、纳秒级的事件，就可能破坏整个应用程序的安全性。通过拥抱这种整体观，我们可以学会构建不仅更快，而且从底层开始就具有内生安全的系统。