Кратко и по существу.
RISC vs CISC
- Цели и философия: RISC — минимальный набор простых, фиксированной длины инструкций, ориентированных на быстрый конвейер и простую декодировку; CISC — богатый набор сложных инструкций (часто переменной длины), позволяющий сокращать количество инструкций на программу за счёт большей микрокодовой/микроархитектурной сложности.
- Последствия для реализации:
- RISC упрощает глубокомасштабируемые аппаратные оптимизации (пайплайнинг, параллелизм) благодаря однообразию инструкций и простому декоду.
- CISC часто использует микрокод, сложные адресные режимы и трансляцию сложных инструкций в микрооперации (µops), что усложняет реализацию суперскалярности и OoO, но даёт компактный код и может снизить давление на память.
- Традиционная противопоставляемость в реальности размыта: современные CISC (x86) внутренне транслируют в RISC-подобные µops; RISC добавляет сложные инструкции в HW/µcode по мере необходимости.
Микроархитектурные оптимизации и их эффект
- Пайплайнинг: разбивает исполнение инструкции на стадии, что даёт параллелизм по времени и увеличивает тактовую частоту. Идеальная скорость: каждая тактовая позиция может выпускать инструкцию, т.е. частота исполнения ≈ 1 инструкция/такт (при отсутствии конфликтов). Формально:
$\text{Throughput}=\text{IPC}\cdot f$,
где $\text{IPC}$ — инструкции за такт, $f$ — частота.
- Суперскалярность: параллельное выполнение до $W$ инструкций за такт (ширина канала), даёт теоретическое ограничение
$\text{IPC}\le W$. Практический IPC меньше из‑за зависимостей и ресурсов.
- Внепорядочное выполнение (OoO) и спекуляция: процессор переставляет и предсказывает ветвления/загрузки для заполнения исполнительных узлов, улучшая параллелизм и маскируя задержки памяти.
- Предсказание ветвлений и предзагрузка: снижает простои при ветвлениях; агрессивная спекуляция увеличивает производительность, но требует механизмов отката (reorder buffer).
- Стоимость: сложность логики, потребление энергии, тепловыделение и увеличенная уязвимость к сложным аппаратно-программным взаимодействиям.
Как оптимизации породили Spectre/Meltdown — механизм уязвимости
- Корневой фактор: разделение архитектурного состояния (то, что «видимо» программам после коммита) и микроконфигурируемого микросостояния (кэш, TLB, буферы предсказаний и т.д.), причём при спекуляции архитектурные изменения откатываются, а микросостояние — нет.
- Общая идея атак:
1. Тренировать предсказатель/вызвать спекуляцию так, чтобы процессор выполнил инструкцию, читающую секретные данные (например, из другой области памяти/ядра) в спекулятивном пути.
2. Спекулятивно выполненные инструкции модифицируют микросостояние (часто кеш), затем спекуляция обнаруживается и инструкции откатываются — архитектурно следов нет.
3. Атакующий меряет микросторонние эффекты (например, время доступа к кеш-линиям) и извлекает секрет по разнице во времени.
- Конкретные примеры:
- Spectre: использует неправильное предсказание ветвления или предсказание индексации, чтобы заставить процессор спекулятивно прочитать за пределами безопасной области; данные попадают в кэш, и по timing‑каналу извлекаются.
- Meltdown: использует то, что спекулятивная загрузка может обойти проверку привилегий до того, как сигнатурный fault обработан; данные из защищённой памяти временно попадают в кэш.
- Ключевая причина уязвимости — микроскопические побочные эффекты (кэш, BTB, RSB, TLB), которые не откатываются при отмене спекулятивного исполнения.
Последствия и смягчения
- Программные и аппаратные контрмеры:
- Разделение пользовательского/ядрового адресного пространства (KPTI) — устраняет прямой доступ к kernel‑pages в контекстах пользователя (снижение производительности).
- Барьеры/инструкции сериализации (например, `LFENCE`) и предотвращение или ограничение спекуляции в критических ветвях.
- Retpoline — программная техника для защиты от некоторых Spectre‑вариантов (перенаправление возвратов).
- Апдейты микрокода и аппаратные изменения: проверка прав доступа до выполнения спекулятивных загрузок, очистка микроструктур при переключении контекстов, новые механизмы изоляции предсказателей.
- Трейт‑офф: многие контрмеры снижают производительность (иногда ощутимо), повышают сложность и энергопотребление. Аппаратные исправления в новых CPU стремятся снизить потерю производительности, но требуют изменений дизайна микросостояний и правил спекуляции.
Вывод (сжатый)
- RISC/CISC — разные ISA‑философии, но в современных CPU внутренняя реализация часто схожа. Производительность достигается агрессивными микроархитектурными оптимизациями (пайплайн, суперскаляр, спекуляция, OoO).
- Эти оптимизации улучшили скорость, но ввели нелинейные микросостояния, которые не откатываются при отмене операций — именно это позволило реализовать Spectre/Meltdown: спекулятивный доступ → изменение микроструктур (кэш/предсказатели) → побочное измерение и утечка секретов.
- Защита требует балансировки между безопасностью, производительностью и сложностью аппаратного/программного обеспечения.