Schutz gegen Meltdown und Spectre
Mehr Sicherheit durch Linux-Kernel 4.16
| Autor / Redakteur: Thomas Joos / Peter Schmitz
Mit der neuen Linux-Version 4.16 wird auch Linux wesentlich sicherer gegenüber den Prozessor-Sicherheitslücken Meltdown und Spectre. Auch Verschlüsselungstools können auf Sicherheitsfunktionen gegenüber Spectre zugreifen.
Auch Linux soll sicherer gegenüber den Prozessor-Sicherheitslücken Meltdown und Spectre werden. Daher wurden bereits in den Kernels 4.14 und 4.15 Sicherheitsmaßnahmen integriert. Diese werden in der Version 4.16 nochmal im Detail verbessert, und zwar gegen Spectre V1 und Spectre v2. Der Linux-Kernel 4.16 nutzt weiter Retpoline. Der Schutz reicht aber nicht aus. AMD und Intel stellen daher über Microcode-Updates Funktionen zur Indirect Branch Control (IBC) bereit. Dieser soll für alle Betriebssysteme, auch Windows, dafür genutzt werden Spectre V2 auszusperren. Generell setzt Linux aber weiterhin stark auf Retpoline.
Für IBC werden Microcode-Updates von AMD und Intel verwendet, auf die Linux zugreifen kann. Besonders hilfreich ist das bei der Virtualisierung und der Verwendung von besonderen Sicherheitstools wie zum Beispiel die Verschlüsselung mit GnuPG. Neben diesen Sicherheitsverbesserungen gibt es auch einige zusätzliche Verbesserungen im Kernel, welche die Standardsicherheit von Linux verbessern. So wird zum Beispiel beim Erstellen einer Konfigurationsdatei für den Linux-Kernel der Zugriff auf den kompletten Arbeitsspeicher standardmäßig verhindert.
Linux 4.16 verfügt über die Unterstützung von Platform Security Processor (PSP). Dabei handelt es sich um eine Funktion der AMD Secure Processor (AMD-SP). Besonders interessant ist das zum Verschlüsseln des Arbeitsspeichers von VMs mit AMD SEV.
