メッセージを送る

ニュース

March 11, 2021

保証を欠くドラムの耐久性がある脅威

攻撃者がシステムを破壊するか、または管理することを可能にする「rowhammer呼ばれる有名なドラムの脆弱性は」と破片工業に通い続ける。解決は試みられ、新しいものは提案されているが、主要な攻撃のための潜在性は主張する。

最初に前にいくつか5年発見されて、「rowhammer」の脅威を除去するための努力のほとんどは少しもっとより軽減する問題はした。

「Rowhammer大きい問題である」、はバーバラAichingerをFuturePlusの副大統領言った。「「は固定されたことを売り手主張するが、『そうではなかった。2020年に出版された多くのペーパーをちょうど見れば、見る沢山のそれの証拠を」。

これまでのところどれも限定的および決定的ように広く受け入れられなかったがrowhammerを妨げる多数の方法がある。軽減はソフトウェア レベル、ブラウザのレベルで、そしてドラムおよび記憶コントローラーのハードウェアで見つけることができる。しかしこれらの攻撃を妨害する試みだけ。それらは根本的原因で問題を解決しない。1つの会社は今解決があるように要求する。

Rowhammerの基本原則
Rowhammerは方法ドラムの故意ではない結果がなされると同時に起こる。そのプロセスは可能ように同様に少しお金のためのケイ素に羽毛できるだけ多くのビット得る注意深く制作された方法である。プロセスを単に変えることは中間の業績ではない。私達が方法を逆さに置くことができないという事実私達は記憶の巨大な量を造る—十分であるとして軽減の一定した約束と共に—根原因の解決を防いだ。

問題は製造工程の一部としてエッチングされた壁に沿うダイスのレベルで起こる。そのエッチング プロセスは電子を捕獲し、それらに握ることができる欠陥、かトラップを残す。それらの電子がトラップにとどまったら、これはあまり大きい問題ではないかもしれない。しかし後でメモリー アクセス周期で、それらの電子は解放することができる。そこにから、それらは漂ってもいく可能性としては近隣の細胞に行きつく。

「からのにに列を回す度に、基質に電子のパフを得る」、アンディーの歩行者、回転の記憶のプロダクトの副大統領を言った。「これらの電子のいくつかは近くノードによって移住し、取られる」。

最新の会社ニュース 保証を欠くドラムの耐久性がある脅威  0

図1:一時的にそこに残るサイドウォールの(去った)捕獲の電子に沿うトラップ(中心)。後で、それらはいい(右の)解放され、他の細胞に移住しても。源:IEDM/Micron

ドラムのビット セルは充満をそして出す手段と共に書き、どの位充満がそこにいつ読んでいるか定めるとき何も充満を貯えるコンデンサーより多くではない。コンデンサーは漏ることができ読むプロセス自体は有害である。従ってコンデンサーは読書の直後にまたは長い間アクセスされなければ、そして前もって決定された頻度で新たになる価値がなければならない。

ここの基本的なポイントは細胞の状態がコンデンサーの充満によって定められる、その充満によっては傷つきやすい間で新たになる周期がことであり。漂う電子は細胞の充満を変える細胞に移住できる。されたら余りにも多くの時間細胞の感知された状態を変えるために、十分な充満は集まることができる。

これはrowhammerの「ハンマー」の部品が入るところである。考えはある特定の列が読まれれば、aの前の十分な時間は起こる、これらの常識はずれの電子の繰り返されたミニ破烈近隣の細胞を変えることができる新たになることである。、収縮次元と、傷つきやすい近隣の列のはだけではないかもしれないことに実際、最近のIEDMの会議で、上席副社長、ミクロンのテクノロジー開発、ナガ語Chandrasekaranは注意した。列が一緒により近くなるので、ほぼ近隣の列は– 2のまた更により多くの列–同様に影響されることができる。

攻撃するべき現象から
それはこの現象を取り、システムを攻撃するのにいかに使用できるか把握する利発な考えることを取る。まだ深刻な黒帽子の攻撃がないことをようではない間、システムの管理の手段としてrowhammerを説明する多数の学術のペーパーがずっとある。

「攻撃のある著しいデモンストレーション人間の特徴をもつ電話を定着させるより高いシステム レベルの右に(管理者にのように)上がりまたは保護された仮想計算機べきであるものが管理する」はジョンHallman、OneSpinの解決の信頼そして保証のためのプロダクト マネージャーを言った。

、そこにシステムおよび破片の底の上から2つの大きな挑戦見ている。1つはクリティカル・システム データが記憶にどこにあるか知っていることにある。他は列が物理的に隣接している知識を必要とする。重要な破片の特定のレイアウトおよびこれは通常保ったチップメーカーによって機密ある。1人の売り手がなしたもう一人の売り手のそれと記憶の物理的な整理が同じであると仮定できない。

これすべては実行可能な攻撃に回るためにrowhammerを、決して不可能困難に、作った。さまざまな攻撃の細目が結果を詳しく述べる多くの研究のレポートで広げて置かれる間、幾つかの例はそれがそれほど記憶の任意部分の完全な制御を得ることの挑戦いかにではない、しかしか示しむしろ戦略的な位置の制御を得る—そしてそのと、総合システムを管理する。

目標とするべき1つの魅力的な場所は記憶域管理に使用するテーブルである。彼らは異なった割振りにアクセスするために必要な許可を含んで、走るさまざまなプロセスのための意図されていた境界を広げて置く。主記憶操置を攻撃してよりもむしろ、これらのページ テーブルを、1つと編集しなさいことを、限られたプロセス変わるかもしれない意味する攻撃することは攻撃者にとって入手しやすい記憶の(またはすべて) –安全なブロックを含んで–もっと作る方法で。その1つの変更によって開発を促進するために、システムは今開発されてしまった。

どの列を–およびそれからそれを槌で打つ–隠し場所の流行する使用を槌で打つことはこの困難にするか決定に関して。記憶場所に単に繰り返しアクセスするプログラムを書けば、rowhammer現象にてこ入れしない。それはあり最初のメモリー アクセスが内容を隠し場所に荷を積むそれに続く物すべては引っ張りので記憶を再読するよりもむしろ隠し場所から。

それは隠し場所をあらゆる巧績の重要な部分を回避することを作る。それは異なった建築に異なった隠し場所の追立ての方針あるのでまたはより懸命に、使用されるプロセッサによってもっと簡単にすることができる(および全く決定論の方針との方針が危険な状態にありなさい)。が、隣接を定めることはデータがドラム内の隠し場所か列の緩衝に既にあったりまたはないかどうか定めるために微妙なタイミングの計算をすることを含むことができる。

攻撃をより堅くすることはある記憶ビットが攻撃するために他より傷つきやすいという事実である。特定のエリアに多数の破片の本当らしいターゲットをすることのような決定論の原因が、あるかもしれないまたはそれへ任意要素があるかもしれない。従ってrowhammerにあらゆるメモリ セルが同じように答えない。

これらのプロジェクトの影響はこれが実質の脅威の認識、ない理論的な1であり、誰かが無数のサーバーおよび記憶が世界中どこからでもアクセスすることができる雲への計算移動を用いる破壊を–特にそれほど作成する前にそれはちょうど時間の問題である。

軽減およびバイパス
これまでに、rowhammerに逆らうためのほとんどの目に見える努力は問題の基本的な物理学を解決しない;それらは問題のまわりで働く方法を提供する。そしてそれらは多数のレベルで実行された。

例えば、ブラウザを使用してリモート サーバにアクセスすることはブラウザ工業に係争物受寄者をした。攻撃が微妙なタイミングの測定を含むことができるのでブラウザは利用できるタイミングの粒度を減らした。ナノ秒 レベルの正確さを得ることはもはや可能ではない。その代り、それは、千倍より少なく正確正確なです、マイクロ秒–まだそして十分に攻撃する1つの方法を制限するにはかもしれない。

「主要なブラウザこの問題を軽減するか、または少なくともに試みた」、はAlric Althoff、トルトゥーガ島の論理の年長ハードウェア保証エンジニアを言った。「実際の苦境の多数はソフトウェアベースおよび非常に目標とされる(例えばGoogle Chromeは2018年にwebGLの実施から延長を取除くことによって故障を軽減した)。しかし大きいテイクアウェイは『』遠隔に開発することができないハードウェア脆弱性が私達は遠隔巧績を今はする方法について』。どうしても考えることができないことをできることだけを示す実験、およびそれ『で開発する』ことができない実際に意味する待っていることである

回顧のペーパーでは、6つの理想的にされた解決は提案された。「最初の6つの解決は次のとおりである:1)傷つきやすくない製造のよりよいDRAMチップはシステム操作の間に一度だけの後製造業の分析によって、2) rowhammer誘発の間違いを訂正するのに使用して(強い)エラー訂正コード(ECC)を3)増加記憶すべてのためのリフレッシュ レートを、4)静的に再配置/内気なrowhammer傾向がある細胞、5)動的に再配置し/内気なrowhammer傾向がある細胞は、6)ランタイムの間に正確に槌で打たれた列を識別し、新たになる隣人を」。

ほとんどの軽減は第6.第1にである望ましい根原因の苦境焦点を合わせる。第2 – ECC –私達がやがて論議すること使用することができたりしかし限定を持っている。3魅力的であるそれは端無しに一定した追跡である。そして第4および5重要なシステム レベルの複雑さを作成するため。

軽減の焦点の多くはDRAMチップの間でドラムとシステムの間に立つコントローラーおよびそれ自身を分けられるメモリ不足のレベルに–あった。「の中では周期を新たになりなさい、そのような攻撃がある特定の価値を超過するとき窓が」、言ったVadhiraj Sankaranarayanan、Synopsysの年長の技術的なマーケティング部長をある。「それから解決は–コントローラーかドラムで…どこでも造ることができる。それは高いハードウェアを要求し、power-hungryである。しかし私達はデータがここに王」。であるので記憶に安全でほしい

攻撃を防ぐ1つの方法は新たになるある特定の列のアクセスの数を間の数えることである。境界が超過すれば、それ以上のアクセスを防ぐ。それは概念で簡単に聞こえるかもしれない間、練習に入ることは困難である。他では正当ようであるアクセスを断る記憶のためのよくないモデルがない。従って決定は何をのためのシステムに再びすればいいのか読まれた要求が否定されればずっと必要とされる。その平均はことコントローラーの停止、待ち時間および試み再度か。オペレーティング システム関与するか。適用を最終的に失敗するするか。

2つの新しい機能はJEDECの記憶標準に提供した別の応答を加えた。1つの新しい特徴はターゲット列新たになるために、かTRRと呼ばれる。そこの考えは読み、スケジュールに従って、良粒度のメカニズムが単一列を実行するために必要請求あり次第新たになるであるドラムはの後で新たになるために置かれるがことである。誰かまたは何かが–記憶またはコントローラーの–攻撃は進行中であるかもしれないことを検出すれば影響を受けた列に新たになり、そのポイントまで起こるかもしれない槌で打つことを逆転させるために出ることができる。

「特定の列攻撃されて得ていることをコントローラー監察し続け、疑えば、可能な犠牲者がであるものコントローラーはすぐに」、は言ったSankaranarayananを見つける。「それからそれはTRRモードにドラムを置き、それらの犠牲者の列に防ぐために新たになる順向を送ることができる元の状態を失う」。

監視はダイス サイズおよび力の費用でドラム自身で代わりに、実行することができる。「ドラムまたカウンターがあることができる」はSankaranarayananを加えた。「それはpower-hungryであるが、一部に」。耐久性があるアクセスを監察できるカウンターがある

Zentelは「rowhammerなしの」ドラムとして示すものをの解決を提供している。「2Gbおよび4GbのDDR3 (25nmノード)ドラム、Zentelをある特定の最高の計算が達されるとすぐ多数のカウンターおよびSRAMの統合されたハードウェア組合せを用いる専有rowhammerの保護機構を活発化列番号を監視し、列が」、ハンズDiesingを言った犠牲者、Zentelの販売のディレクターを新たになるために適用する。これは多少性能に影響を与えるか、またはドラム目に見える外側べきな応答を提供する。

この解決は費用と、当然、来る。不動産を欠くために「付加的なハードウェア構造加え、より少ないウエファーの収穫、原因で費用であまり競争ではないし、この企業の残りと比較される価格」は彼は付け加えた。「しかしこのrowhammerなしの版はHDD工業からの顧客の請求あり次第設計されていた」。

しかしTRRはすべてのプレーヤーを、満足させなかった。「一般に、ドラムの売り手およびコントローラーの売り手はTRRについて口をつぐんでいる」、Sankaranarayananを言った。実際、単に1つの軽減でよりもむしろ、TRRは多数がとばすことができるいくつかの軽減のための傘のようである。「不運にも、TRRは多数が働かない方法のコレクションを」言ったAlthoffを記述する。「従ってそれは対策の系列だけ」。、本質的にない軽減である

TRRは1面(1つの近隣の攻撃の列)または両面から保護(攻撃者として両方の近隣の列)できるかもしれない間、「many-sided」攻撃–同時に働く多数の列に対して助けることができない。用具は把握を助けるようにまだ有効であるようにTRRの前で攻撃を変更する方法を発達した。

エラー修正 コード(ECC)はまた可能な解決策として見られる。そこの列買収されるであるその堕落は読み出しプロセスの間に訂正される。それがシングル・ビットまたはそう買収された列のための言い分であるかもしれない、しかし–そのを与えられるそれの全体の列ちょうど部分ではなくを槌で打つ– ECCが訂正できるよりより多くの間違いがあるかもしれない。「今攻撃者がこれらの保護のまわりで方法を識別し始めているけれどもこの攻撃のための第一次保護の1つエラー・コードの訂正(ずっとECC)」は注意したHallmanにである。

さらに、あるECCの実施は読まれるデータだけ列のない元のデータ訂正する。不正確なビットを残すことは意味しそこに既にある何が未来によってが新たになることをそれを知られていた金参照の州に元通りにするよりもむしろ補強する間違いを、以来新たになる回復が。これを避けることは意味し不正確なビットおよび記憶のそれらを訂正することを定めるのにECCを使用する。

また管理(RFM)が呼ばれる命令によってが新たになる新しいコントローラーがある。「RFM DDR5のためのJEDECの標準にあるが、それはより広い保証聴衆によってまだ評価されていない」、はAlthoffを言った。「それは概念上よく間、そう、試験されていなく、従ってではない知られていた軽減、ちょうど推定1」。

パターンはこれであり、他の軽減は出版され、まだ軽減を回避してもいいと証明するために学術の世界は働くことを行く。そして、ほとんどの場合、ずっとそれらは正しい。

付加的な心配はほとんどの軽減がCPUベースのシステムに焦点を合わせたこと、与えられて今循環している。システムを攻撃する代替方法を提供する注意は、同様にそこに必要とされる。

ずっと2012年以来のこの脅威を軽減するために「企業働いているターゲット列のような技術と(DDR3/4およびLPDDR4標準のTRR)部分を新たになりなさいおよびDDR5の管理(RFM)を新たになればLPDDR5指定」、はウェンディーElsasser、腕の顕著なエンジニアを言った。「しかしドラムの内部レイアウトが専有であるので、これらそして他の軽減の技術と、rowhammerの攻撃はに対して軽減し特ににくい」。

根本的な問題は解決することができるか。
この問題が付いている聖杯はずっと妨害の細胞から移住の電子を停止する方法である。全ドラム プロセスをある意味ではそれが逆さに置かないことすることはまたはドラムを負担しえなくさせるためにずっと大きな挑戦である。そういうわけでありそれを直接解決するよりもむしろ、軽減によって間接的に解決すること、問題をに焦点がそれほど。しかし一定した攻撃の下の軽減と、根原因の解決は歓迎されている。

「これはハードウェア問題へハードウェア解決のための議論である」、Althoffを言った。「ハードウェアが傷つきやすければ、ソフトウェアへ軽減責任を押すことは–またはより高い抽象的概念のレベル–同等とである[ガム テープと差し込まれる水漏出を示す普及したmeme。]」

1つの会社は–多分偶然そのような苦境を見つけるように要求する。回転の記憶(かつてのSTT、MRAMの生産者)記憶ビット セルに必要な区域を減らすのを助ける新しいセレクターを作成した。多くのビット セルは単一の部品から(抵抗器、コンデンサー、またはトランジスターのように)成っているが、別の関連の細胞がアクセスされるときそう止まる方法が偶然妨げられないであることを必要とする。従って、付加的な「セレクター」のトランジスターはビット セルをより大きくさせるあらゆるビット セルに加えられる。

回転の記憶はそれが3D否定論履積の本–周囲のゲートによって縦に作動させるトランジスターを–およびそれの隣によりもむしろメモリ セルの下にそれを置くことからのページを取ることができることを見つけた。従ってこの積み重ねられた整理は記憶配列のサイズを密集させる。

「それはReRAM、CBRAM、CERAMおよびPCRAMのようなあらゆる抵抗スイッチにそれから使用することができる–転換するように現在または電圧要求する2ターミナル抵抗器」歩行者を言った。「それは選択的なエピタクシーに基づいてトランジスターのまわりに縦のゲート完全にである。それは私達が私達の非常に低電圧の適用に合わせること3D否定論履積の高圧装置である。それはそれが物質科学でに翻訳する何を高いドライブおよび装置のチャネルは」。モノクリスタルでなければならないことであるによって低い漏出を要求する、それ故に、沈殿よりもむしろエピタクシー。

これはトランジスターにそれに完全なrowhammerの解決のための競争相手をする2つの重大な特徴を与える。1つは使用されるケイ素が育つことでありウエファーにエッチングされるよりもむしろウエファーの上でエピタクシー的に。エッチングが初めの電子を捕獲するトラップの根本資料であるので、それらのトラップの場所を除去することは非常に減ったり、また更に、問題のもと除去する。

第2特徴はどんな源効果的に外部電子を、妨げるビット セルと干渉する埋められたnタイプの層である。耐えられたら、これは効果的にrowhammerのメカニズムを締める。

最新の会社ニュース 保証を欠くドラムの耐久性がある脅威  1

図2:左で、侵略者の細胞で引っ掛かる電子は近隣の細胞に漂い、コンデンサーの充満を変えることができる。権利で、最近提案された構造の使用エピタクシーは、少数トラップの場所、およびn添加された地域を作成してビット セルのアクセスからの常識はずれの電子を妨げる。源:回転の記憶。

回転は、NASAおよびImecと共に、解決を詳しく述べるペーパーを出版している(現在paywallの後ろで)。そのよう提案と同じように、それは挑戦およびテストに直面している保証コミュニティの中でそれが限定的ように受け入れることができる前に循環しなければならない。

軽減の有効性を証明することは容易でなく、攻撃の注意深い模倣を–少なくとも、知られていた物要求する。「私達のフォルト注入および検出用具の利用によって攻撃を模倣するために、私達は顧客と働いてもいく、記憶に対する効果を示すため」、Hallmanを言った。「これは情報がまだ」。漏らすことができる区域を識別できる

原則からのケイ素 レベルの苦境の有効性を証明することはまた挑戦である。「ドラム堅いIPおよび攻撃の巧績の物理学である、従ってスパイスの順序の精密との何かを必要とする、または目標とされた代わり、前ケイ素を自信をもって確認するため」、はAlthoffを言った。

しかし両方の軽減の証拠および苦境は慎重な企業で必要である。「回転rowhammer免疫があるドラムを作り出すことを試みるべき第1」は注意したFuturePlusのAichingerにではない。「複数の新しい軽減の作戦は議論の下にあり、2021年にこれについての詳細を聞くべきである。」(印から)

連絡先の詳細