日前,媒體報道瀾起科技聯合清華大學及 intel 研發的津逮 x86 國產服務器 CPU 開始批量供貨。津逮 x86 服務器 CPU 是基于英特爾的 14nm skylake 微架構,是在標準的英特爾至強處理器的基礎上,加入了清華大學的預檢測(PrC)和動態安全監控(DSC)功能,可通過內建的安全監控引擎來實現高速 I/O 跟蹤、內存訪問跟蹤、CPU 行為監控等功能。
津逮CPU其實就是在Intel CPU上加一個所謂的安全模塊,是CPU+ASIC,CPU直接用英特爾的,ASIC國內單位自己做。通過寫一個ASIC,瀾起把安全向下做到硬件這一級,理論上會檢查所有的指令,檢查X86內核運行時行為是否與預期一致,若一致則執行,如果不符合預期定義的動作都不讓執行。而運算功能則由Intel做的X86內核負責。
但這么一來,瀾起的CPU部分其實就是Intel的內核,考慮到Intel的一系列高危漏洞10年不改,更不承認,直到2017年3月底安全研究者Maksim抓個現行后,Intel才表示:“十年來的產品都因高危漏洞存在安全隱患”的黑歷史。
在CPU安全方面完全仰仗Intel是否靠譜依然是未知數。
何況,國內單位通過對某些國外X86 CPU的嚴格測試,可以確認存在功能不明確的“多余”模塊,它不是一般意義的調試接口,而是由特定的CPU芯片引腳控制,可讀寫CPU內部狀態寄存器、讀寫指定存儲區域、激活特定的微代碼段執行某個處理流程、并且可以對CPU進行復位。同時,還發現其存在未公開指令,包括加解密、浮點操作在內共計二十余條,其中,有三條指令在用戶模式就可以使機器死機或重啟,作用機制直接穿透各種軟件保護措施,防護軟件不能感知;普通應用程序中嵌入一條即可使系統宕機。
在這種情況下,加一個可重構計算處理器是否能真的實現100%安全,恐怕還需要時間去檢驗。
另外,瀾起京逮CPU的AISC模塊其實完全可以不和Intel的CPU封裝在一起,完全可以分開,安裝在主板上,而且這么一來,瀾起在商業模式上,可以更加靈活——ASIC模塊可以單獨出售,也可和Intel的CPU一起搭配出售,甚至還可以和AMD、IBM等國外CPU搭配出售。就成本來說,也可以省去一筆額外的封裝費用。為何硬要把英特爾的 skylake和安全模塊封裝在一起,司馬昭之心路人皆知。
這款CPU性能是不錯的,畢竟就是英特爾的skylake,不過媒體報道中將這款CPU稱為國產,只讓鐵流感到無奈。曾經鐵流對國產的概念是CPU源代碼自己寫。在國內ARM CPU風靡一時,并借此搞愛國營銷后,國產的定義變成了買IP做集成設計SoC。如今,把skylake和一個安全模塊封裝在一起也成了國產,國產的下限被不斷拉低,只能說京逮CPU重新定義國產CPU。
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
