Die kritischen Lücken in praktisch allen aktuellen Prozessoren halten nicht nur Intel, AMD und Co. auf Trab, sie bergen auch gehörige Herausforderungen für Betriebssystemhersteller. Und während selbst bei Microsoft in einzelnen Fällen schon die Verärgerung über die Hardwarepartner durchgeklungen ist, gibt man sich der Welt der freien Software prinzipiell weniger diplomatisch.

Scharfe Worte

In einem aktuellen Beitrag an die Entwickler-Mailing-Liste des Linux-Kernels macht Linus Torvalds seinem Unmut über Chiphersteller Intel Luft. Dessen aktuelle Patches würden komplett "verrückte Dinge" tun, vieles davon ergebe schlicht keinen Sinn. in Summe seien die Intel-Vorschläge für Spectre "kompletter Müll".

Die deutlichen Worte des Linux-Erfinders sind eine Reaktion auf eine aktuelle Diskussion über die Spectre-Updates von Intel. In dessen Verlauf hatte ein anderer – bei Intel beschäftigter – Kernel-Entwickler eine etwas zynischere Darstellung der aktuellen Situation geliefert: Klar seien die aktuellen Fehlerbereinigungen ein "übler Hack", aber immerhin habe man dadurch nicht sämtliche Rechenzentren der Welt abdrehen müssen und zur Züchtung von Ziegen zurückkehren müssen.

"Übler Hack"

In seinem Mail kritisiert Torvalds aber auch konkret von Intel getroffene Entscheidungen. Während man bei Meltdown auf dem richtigen Weg zu sein scheint, verweisen Intels bisherige Maßnahmen zu Spectre darauf, dass der Prozessorhersteller die Last auf die Betriebssystemhersteller abladen will. Intel liefere dabei selbst einen solch üblen Hack, dass kein Hersteller ihn von Haus aus aktivieren will, weil er deutliche Leistungseinbußen mit sich bringt. Stattdessen sollen offenbar die Betriebssystementwickler Auswege für von Intel verursachte Fehler finden sollen.

Windows

Torvalds spielt dabei unter anderem auf jene Updates für die Prozessor-Firmware (Microcode) an, die Intel seit Anfang Jänner ausliefert, und die nicht nur deutliche Performance-Einbußen zur Folge haben, sondern auch zu Stabilitätsproblemen geführt haben. Während Linux-Distributionen diese schnell übernommen hatten, liefert Microsoft bei Windows diese Updates bisher nicht automatisch aus, sondern überlässt diesen Schritt lieber den jeweiligen Hardwareherstellern, die zum Teil bereits passende BIOS-Updates anbieten. Schon vor einigen Wochen sorgte Microsoft mit einer Empfehlung an Server-Betreiber für Verblüffung, in der es heißt, dass man sich aufgrund der mit dem Spectre-Fix einhergehenden Leistungseinbruch gut überlegen solle, ob Sicherheit oder Performance wichtiger seien.

Alternative Wege

Unterdessen arbeiten die Linux-Entwickler an anderen Wegen, die betreffende Spectre-Attacke – zumindest teilweise – auszuhebeln. Dabei greift man auf eine Entwicklung von Google namens "Retpoline" zurück. Dieses sorgt dafür, dass Programme beim Kompilieren (also der Verwandlung des Quellcodes in Binärdateien, Anm.) so abgesichert werden, dass dieser Angriff nicht mehr möglich ist. Der Linux-Kernel hat Support für Retpoline bereits mit der Version 4.14.14 aufgenommen, allerdings ist damit das Problem noch nicht beseitigt. Die Art der Implementation bedingt, dass auch der Compiler aktualisiert und alle Pakete neu erstellt werden müssen – und diesen Schritt hat bisher noch keine Distribution vorgenommen, immerhin muss das dann auch alles wieder neu getestet und etwaig dabei auftauchende Probleme behoben werden. Was die Situation weiter verkompliziert ist, dass Prozessoren der Skylake-Generation besonders anfällig für Spectre sind, und hier Retpoline keine vollständige Abhilfe bieten kann.

Die Patches für Spectre und Meltdown haben aber auch sehr konkrete Auswirkungen auf den Zeitplan der Kernel-Entwicklung. So wurde nun die Freigabe von Linux 4.15 – vorerst – um eine weitere Woche verschoben, damit man mehr Zeit zum Testen für die Sicherheitsänderungen hat.

Vorgeschichte

Es ist nicht das erste Mal, dass Torvalds in diesem Zusammenhang schwere Kritik an Intel übt. So zeigte er sich schon Anfang Jänner öffentlich von dem "PR-Gebrabbel" Intels genervt: "Will Intel im Grunde sagen: 'Wir bekennen uns dazu, euch für immer Scheiße zu verkaufen und nie etwas zu reparieren?'" Diese scharfen Worte waren ein Reaktion darauf, dass Intel in seinen Pressemitteilungen von Anfang an versuchte, die Auswirkungen von "Meltdown" und "Spectre" herunterzuspielen. So behauptete man etwa ursprünglich gar, dass die zugehörigen Fixes keinerlei relevante Performance-Auswirkungen haben würden – etwas das mittlerweile durch zahlreiche Benchmarks, unter anderem Intels eigene, widerlegt ist. Zudem verweigert Intel bisher jegliche Auskunft dazu, wann denn Prozessoren erhältlich sein werden, bei denen diese Fehler auf Hardwareebene bereinigt sind. Immerhin ist all das, was jetzt die Softwareentwickler auf Trab hält, nur ein Workaround für grundlegende Fehler, die bei der Hardwareentwicklung gemacht wurden. (Andreas Proschofsky, 23.1.2018)