Ubuntu відключає виправлення Spectre для Intel GPU задля підвищення продуктивності на 20%

Дата: 25 червня 2025 року
Автор: Дан Гудін (переписано та розширено)

Огляд

Команда Ubuntu компанії Canonical оголосила, що у майбутньому релізі Questing Quokka (запланованому на жовтень 2025 року) буде відключено заходи безпеки, пов’язані з уразливістю Spectre, у драйвері Graphics Compute Runtime Intel. Перенісши залишкові захисти в ядро Linux, Ubuntu сподівається відновити до 20% втраченої продуктивності GPU для навантажень OpenCL та OneAPI Level Zero на інтегрованих та дискретних графічних процесорах Intel.

Передумови: Spectre та Спекулятивне виконання

Сімейство атак Spectre, про які стало відомо в січні 2018 року, використовує бокові канали спекулятивного виконання в мікроархітектурах процесорів. Сучасні процесори, включаючи Intel, спекулятивно виконують передбачувані інструкції і скасовують стан, якщо прогнози виявляються неправильними. У певних ситуаціях мікроархітектурні побічні ефекти (таймінги кешу, стан предиктора переходів) можуть витікати чутливі дані.

Протягом років Intel та інші виробники процесорів опублікували безліч методів пом’якшення:

• Retpolines: Перенаправлення непрямих переходів через безпечний тромплін для запобігання спекулятивному виконанню цілей, контрольованих зловмисником.
• Обмежена спекуляція непрямих переходів (IBRS): Обмеження спекуляції непрямих переходів на глобальному або процесному рівні.
• Заповнення буфера стеку повернення (RSB): Запобігання атакам на предиктор адреси повернення.

Ці патчі, які були впроваджені через оновлення мікрокоду та зміцнення на рівні ядра/навантаження, в цілому призвели до зростання навантаження до 20% на задачі обчислень GPU, зокрема на тих, що сильно залежать від предикції переходів, таких як трасування променів або складні ядра OpenCL.

Рішення Ubuntu: Пом’якшення на рівні ядра в Quokka

Розробник Ubuntu Шейн МакКі пояснює:

“Після обговорень з командою безпеки Intel, ми дійшли висновку, що підтримка пом’якшень Spectre на рівні ядра та драйвера має зменшені вигоди. Завдяки повному покриттю ядра, патчі на рівні Compute Runtime додають незначну цінність для безпеки, але значні витрати на продуктивність.”

На практиці це означає:

1. Всі захисти від Spectre будуть консолідовані в ядрі Linux (версія 6.7+).

2. Складка драйвера Intel Graphics Compute Runtime (NEO/відкритий драйвер) буде постачатися з параметром NEO_DISABLE_MITIGATIONS=true за замовчуванням.

3. Попередження під час складання інформує розробників, якщо вони компілюють користувацький драйвер без патчів ядра для Spectre.

Технічні специфікації та тестування

Бенчмарк продуктивності Canonical:

1. Тестова платформа: Intel Core i9-13900K з дискретним GPU Iris Xe, Ubuntu 24.04 LTS + Linux 6.5 проти Questing Quokka + Linux 6.7.
2. Версія драйвера: Intel Compute Runtime 23.32.24125.0.
3. Бенчмарки: набір Rodinia OpenCL, ядра трасування променів Level Zero, SPECviewperf.

Результати: до 20% підвищення в стійких GFLOPS та зниження затримки кадрів на 15–18% у сценаріях, що потребують обчислень. Навантаження в іграх (Vulkan, DXVK) не показали помітного покращення, оскільки ці API обходять абстракції Compute Runtime.

Вплив на дата-центри та хмарні середовища

У багатокористувацьких хмарах часто відключають пом’якшення на рівні драйвера для максимізації щільності віртуальних машин. Зміна Ubuntu узгоджується з практикою галузі — покладаючись на функції ядра, що враховують віртуалізацію (пом’якшення KVM, захисти EPT) для захисту від Spectre:

• Економічна ефективність: Вищий пропуск GPU на хост знижує загальні витрати на володіння (TCO) для кластерів AI/ML.
• Рівень безпеки: Пом’якшення на рівні ядра (IBRS, заповнення RSB) залишаються активними; ізоляція гіпервізора додатково знижує ризик витоку між ВМ.
• Відповідність: Відповідає рекомендаціям NIST SP 800-209 щодо бокових каналів спекулятивного виконання.

Сумісність та питання впровадження

Адміністратори, які компілюють користувацькі ядра без патчів для Spectre, повинні вручну відключити перевагу драйвера, встановивши NEO_DISABLE_MITIGATIONS=false під час складання Intel Compute Runtime. Canonical попереджає:

“Запуск непатченного ядра та непом’якшеного драйвера не підтримується і може піддати системи ризику бокових каналів.”

ISO-образи Ubuntu 24.10 міститимуть інструкції про те, як повторно активувати пом’якшення для високозахищених середовищ.

Думки експертів

Грем Сазерленд (незалежний дослідник):

“У реальному світі атаки Spectre на GPU не були зафіксовані. Інженерні витрати на надійний експлойт є непомірними в порівнянні з іншими векторами атак.”

Софі Шміг (інженер з криптографії):

“GPU більше виграють від агресивної предикції переходів. Вимкнення зайвих пом’якшень є доцільним, коли ядро вже покриває модель загрози.”

Перспективи: стратегії апаратного та програмного забезпечення

Очікується, що нові мікроархітектури GPU Intel (Gen13.5/освіження Raptor Lake) інтегрують примітиви контролю спекуляцій на рівні кремнію, зменшуючи залежність від програмних бар’єрів. Щодо програмного забезпечення:

• Ядро Linux 6.8 представить селективні варіанти retpoline, оптимізовані для драйверів GPU.
• Canonical вивчає техніки лінивої синхронізації для мінімізації затримок у міждоменних конвеєрах.
• Хмарні постачальники планують представити повзунок компромісу між продуктивністю та безпекою у своїх консолях управління.

Висновок

Рішення Ubuntu відключити пом’якшення Spectre для GPU Intel на рівні драйвера ілюструє практичний підхід до оцінки ризиків та вигод. Користувачі, які працюють з навантаженнями OpenCL або OneAPI, можуть отримати до 20% приросту продуктивності, тоді як патчі на рівні ядра та заходи безпеки віртуалізації зберігають надійний рівень захисту.

Категорії

Гаджети та апаратура, Кібербезпека, Технічні новини