Linux-Workloads Performance-Kosten für das Patchen des jüngsten Exploits.Intel hat vor kurzem Downfall bekannt gegeben, eine Sicherheitslücke, die mehrere Generationen von Intel-Prozessoren betrifft – von denen einige zu den besten CPUs auf dem Markt gehörten, der Workaround um das Problem zu lösen kostet 39% Rechenleistung! Der Chip-Hersteller hat einen aktualisierten Mikrocode auf Software-Ebene herausgebracht, der die Schwachstelle behebt. Der Fehler hat jedoch einige Alarmglocken läuten lassen, da er bei AVX2- und AVX-512-Workloads, die den Gather-Befehl beinhalten, zu Leistungseinbußen von sogar bis zu 50 % führen kann.
Zur Erinnerung: Downfall (CVE-2022-40982) steht im Zusammenhang mit der Speicheroptimierungsfunktion in Intel-Prozessoren. Downfall nutzt die Gather-Anweisung aus, die den Prozessor beschleunigt, wenn Intel-Chips Daten abrufen, die an verschiedenen Stellen im Speicher verstreut sind. Der Gather-Befehl legt versehentlich interne Hardwareregister für Software offen, so dass diese auf Daten zugreifen kann, die von anderer Software gespeichert werden. Downfall betrifft Mainstream- und Server-Prozessoren von Intel, von der Skylake- bis zur Rocket Lake-Mikroarchitektur. Daher sind Sie wahrscheinlich betroffen, es sei denn, Sie besitzen einen der neueren Prozessoren von Intel, wie Alder Lake, Raptor Lake oder Sapphire Rapids. Intel hat eine umfangreiche Liste aller betroffenen Chips veröffentlicht.
Von 6%-39% Leistungseinbußen
Die größte Sorge ist, wie sich die Abschwächung auf die Leistung von Intel-Prozessoren auswirken wird. Die führende Linux-Publikation Phoronix hat die Auswirkungen der Downfall-Abschwächungen auf Linux untersucht. Das Nachrichtenportal testete zwei Xeon Platinum 8380 (Ice Lake) Prozessoren, einen Xeon Gold 6226R (Cascade Lake) Chip und einen Core i7-1165G7 (Tiger Lake). Phoronix nutzte verschiedene Softwarepakete aus der realen Welt, die Teil der Intel oneAPI Software sind.
Die beiden Xeon Platinum 8380 waren in OpenVKL 1.3.1 etwa 6 % langsamer. Mit OSPRay 2.12 verzeichnete Phoronix Leistungseinbrüche von bis zu 34 %. Die Entschärfungen führten zu signifikanten Rückgängen bei KI-Workloads wie Neural Magic DeepSparse 1.5, Tencent NCNN und QMCPACK mit bis zu 17 % Reduktion.
Die Xeon Gold 6226R Benchmark-Ergebnisse zeigten eine ähnliche Leistungsverschlechterung. Der Cascade Lake Chip verlor bis zu 33 % bei OSPRay 2.12 und bis zu 20 % bei Neural Magic DeepSparse 1.5.
Was den Core i7-1165G7 betrifft, so hat Phoronix nur drei Benchmarks durchgeführt, die aber ausreichten, um die Leistungseinbußen durch die Downfall-Milderungen zu zeigen. Zum Beispiel lieferte der Core i7-1165G7 11% weniger Leistung in OpenVLK 1.3.1. Bei OSPRay 2.12 haben die Abschwächungen zwischen 19 % und 39 % der Leistung des Core i7-1165G7 verringert.
Erhebliche Einbußen
Die gute Nachricht der ersten Ergebnisse von Phoronix ist, dass der Leistungsrückgang durch die Downfall-Abschwächung geringer war als die von Intel prognostizierten 50 % Overhead. Die schlechte Nachricht ist jedoch, dass der Leistungsverlust immer noch erheblich ist. AVX-Anweisungen sind auch nicht auf AI- oder HPC-Workload-Tests beschränkt. Man findet sie auch in anderen Workloads, etwa bei der Videokodierung oder Transkodierung. Logischerweise wäre es interessant zu sehen, welche Workloads von den Downfall-Abschwächungen negativ betroffen sind. Nach den vorläufigen Tests von Phoronix sind HPC-Workloads am stärksten betroffen.
Das Microcode-Update ist nicht obligatorisch. Wenn Sie die Abschwächung deaktivieren möchten, bietet Intel einen Opt-Out-Mechanismus an, um die Leistung Ihres Prozessors bei vektorisierungslastigen Workloads wiederherzustellen. Dann gibt es noch die Debatte über die Komplexität der erfolgreichen Durchführung eines Downfall-Angriffs. Das Exploit klingt insgesamt nach einem schwierigen Unterfangen, aber letztlich hängt es davon ab, ob Sie Ihre Sicherheit höher bewerten als die Leistung oder umgekehrt.
