image

Impact Spectre- en Meltdown-bescherming op Linux gemeten

donderdag 30 augustus 2018, 17:01 door Redactie, 12 reacties

De afgelopen maanden zijn verschillende beveiligingsmaatregelen voor de Spectre- en Meltdown-aanvallen verschenen, alsmede voor varianten zoals L1 Terminal Fault (L1TF)/Foreshadow. De aanvallen maken gebruik van de technieken die processors toepassen om de prestaties te verbeteren.

De beveiligingsmaatregelen die chipfabrikanten en ontwikkelaars van besturingssystemen ontwikkelden hebben in veel gevallen dan ook een impact op de systeemprestaties. Website Phoronix wilde zien wat de gevolgen van de recente mitigaties zijn voor systemen met Linux-kernel 4.19. Vervolgens werden de systeemprestaties van een kernel zonder beveiligingsmaatregelen vergeleken met die van een kernel die wel tegen Spectre, Meltdown en Foreshadow bescherming biedt.

De testsystemen waren zowel met een AMD- als Intel-processor uitgerust. Tijdens een benchmark waarbij de prestaties tijdens het compileren werden gemeten bleek de Linux-kernel met beveiligingsmaatregelen in combinatie met een Intel-processor 7 tot 16 procent langzamer te zijn. In het geval van AMD was de impact met 3 tot 4 procent veel minder groot.

Tijdens de test met Hackbench, een benchmark en stresstest voor de Linux-kernelscheduler, moesten de Intel-processors zo'n 20 procent aan prestaties inleveren. Wederom was er bij AMD geen impact waarneembaar. Bij een andere test werd gewerkt met een PostgreSQL-databaseserver, waarbij de impact direct aan reële situaties is te koppelen. De Intel-processors met een beveiligde Linux-kernel leveren zo'n 7 tot 5 procent in. Ook bij deze tests is de impact op de AMD-systemen verwaarloosbaar.

De test met de NGINX-webserver liet bij het Intel Xeon-systeem een 20 procent impact zien. Ook bij het tekenprogramma GIMP zorgen de beveiligingsmaatregelen tegen Spectre en Meltdown voor prestatieverlies. Intel-processors moeten 5 tot 10 procent van de prestaties inleveren, tegenover 0 tot 2 procent bij de AMD-systemen. De tests waren vooral op serversystemen gericht, maar Phoronix overweegt ook meer desktopgerelateerde tests uit te voeren als hier belangstelling voor is.

Image

Reacties (12)
30-08-2018, 18:35 door [Account Verwijderd] - Bijgewerkt: 30-08-2018, 18:38
In de dagelijkse praktijk merk ik geen verschil nadat de diverse patches geïnstalleerd waren op mijn Manjaro Desktop systeem, zowel met de 4.14 LTS als met de 4.18 kernel. 4.19 is nog niet officieel uit (RC) dus zal nog lang niet overal draaien.

Maar ik geloof deze meting natuurlijk wel. Liever een iets trager systeem dan een onveilig systeem.
30-08-2018, 20:21 door -karma4
Lang niet slecht dus want de eerste schattingen waren dat het 30% zou kunnen schelen: https://arstechnica.com/gadgets/2018/01/heres-how-and-why-the-spectre-and-meltdown-patches-will-hurt-performance/.
30-08-2018, 21:23 door Anoniem
Door The FOSS: Lang niet slecht dus want de eerste schattingen waren dat het 30% zou kunnen schelen: https://arstechnica.com/gadgets/2018/01/heres-how-and-why-the-spectre-and-meltdown-patches-will-hurt-performance/.

Dan nog is 20% bij Xeons extreem veel. Dat betekent voor veel organisaties halsoverkop nieuwe hardware bijplaatsen. Je bent zomaar een vijfde van je rekenkracht kwijt.
30-08-2018, 22:10 door -karma4
Door Anoniem:
Door The FOSS: Lang niet slecht dus want de eerste schattingen waren dat het 30% zou kunnen schelen: https://arstechnica.com/gadgets/2018/01/heres-how-and-why-the-spectre-and-meltdown-patches-will-hurt-performance/.

Dan nog is 20% bij Xeons extreem veel. Dat betekent voor veel organisaties halsoverkop nieuwe hardware bijplaatsen. Je bent zomaar een vijfde van je rekenkracht kwijt.

Dat is inderdaad nogal wat voor een webserver :-(
31-08-2018, 09:14 door [Account Verwijderd] - Bijgewerkt: 31-08-2018, 09:18
En om dit probleem, dat veroorzaakt is door Intel, op te lossen mag je nog meer geld investeren in extra Intel processoren om je snelheid weer op orde te krijgen. Wrang...

Aan de andere kant is het niks nieuws, veel apparatuur gaat met opzet minder lang mee zodat je weer nieuw spul kunt kopen.
31-08-2018, 10:03 door Anoniem
Diep triest dit.
31-08-2018, 10:22 door Anoniem
Door linux4: In de dagelijkse praktijk merk ik geen verschil nadat de diverse patches geïnstalleerd waren op mijn Manjaro Desktop systeem, zowel met de 4.14 LTS als met de 4.18 kernel. 4.19 is nog niet officieel uit (RC) dus zal nog lang niet overal draaien.

Maar ik geloof deze meting natuurlijk wel. Liever een iets trager systeem dan een onveilig systeem.

Ik denk dat je ook niets merkt als je 10% van je salaris mist, dus maakt het maar over aan mij. ;)

Kan ik nu ook 10%-20% van het aankoop bedrag van de processor terugvorderen ergens?
31-08-2018, 12:30 door Anoniem
Hoeveel pc-systemen staan er in het land,
waarvan we weten dat het doorsnee gewone gebruikers zijn die ze gebruiken,
hoeveel systemen die nu spectre lek zijn,de gewone gebruikers weten het wellicht niet eens,
en als ze het wel weten lossen zij dat probleem van spectre niet zo snel op,dus heel
veel systemen blijven lek met spectre aan het internet,bedankt google.

Koop een nieuwe pc is het advies van google,
en Nee intel patch niet alle cpu's en oudere chipsets en zeker niet die ouder dan 5 jaar zijn,
en nee het is na een spectre microcode update als je geluk heb nog niet voorbij
en Ja er komen weer nieuwe spectre bugs bij 1,2,3,4 etc etc
en Nee je pc word er absoluut niet sneller van,je levert zelfs snelheid in.
31-08-2018, 13:28 door ph-cofi
Door linux4: En om dit probleem, dat veroorzaakt is door Intel, op te lossen mag je nog meer geld investeren in extra Intel processoren om je snelheid weer op orde te krijgen (...)
De conclusie is in mijn ogen anders (en daarom wil Intel geen inzicht in performanceverlies): AMD processoren gebruiken levert tot 20% gratis performanceverbetering op.
31-08-2018, 14:06 door [Account Verwijderd]
Door ph-cofi:
Door linux4: En om dit probleem, dat veroorzaakt is door Intel, op te lossen mag je nog meer geld investeren in extra Intel processoren om je snelheid weer op orde te krijgen (...)
De conclusie is in mijn ogen anders (en daarom wil Intel geen inzicht in performanceverlies): AMD processoren gebruiken levert tot 20% gratis performanceverbetering op.

Tot daar ook een keer iets dergelijks gevonden wordt... En ik ga thuis ook niet al mijn pc's inruilen voor AMD types, dat wordt ook een dure grap.
04-09-2018, 03:33 door Eric-Jan H te D
Ik blijf toch een beetje met een vraag zitten:
Deze kwetsbaarheden hebben kwaadaardige code nodig om het gedrag van de CPU te monitoren en daaruit conclusies te trekken. En die kwaadaardige code is moeilijk te onderscheiden van normale code.

A) de code zal eerst op je systeem moeten komen
B) de code zal enige kennis van je systeem moeten hebben om de cruciale onderdelen van je systeem te monitoren
C) de code zal het gevonden resultaat op de één of andere wijze naar de aanvaller moeten weten te krijgen

Mijn conclusie: Ja het is een kwetsbaarheid, maar gezond computergebruik maakt het benutten van die kwetsbaarheden nogal academisch. Net zoals het monitoren van stroomgebruik, warmteontwikkeling en geluidsproductie van de spoelen van spanningsdelers. Ja hoog risico doelen moeten zeker maatregelen nemen, maar die kunnen wat mij betreft beter op de gebruiker van de computersystemen gericht zijn. Maar de gewone computergebruiker met niet veel andere skills dan browsen, word en E-mail? Ik vraag het me af.
04-09-2018, 12:09 door Anoniem
Door Eric-Jan H te A: Ik blijf toch een beetje met een vraag zitten:
Deze kwetsbaarheden hebben kwaadaardige code nodig om het gedrag van de CPU te monitoren en daaruit conclusies te trekken. En die kwaadaardige code is moeilijk te onderscheiden van normale code.

A) de code zal eerst op je systeem moeten komen
B) de code zal enige kennis van je systeem moeten hebben om de cruciale onderdelen van je systeem te monitoren
C) de code zal het gevonden resultaat op de één of andere wijze naar de aanvaller moeten weten te krijgen

Mijn conclusie: Ja het is een kwetsbaarheid, maar gezond computergebruik maakt het benutten van die kwetsbaarheden nogal academisch. Net zoals het monitoren van stroomgebruik, warmteontwikkeling en geluidsproductie van de spoelen van spanningsdelers. Ja hoog risico doelen moeten zeker maatregelen nemen, maar die kunnen wat mij betreft beter op de gebruiker van de computersystemen gericht zijn. Maar de gewone computergebruiker met niet veel andere skills dan browsen, word en E-mail? Ik vraag het me af.
Wat je zegt klopt ook grotendeels. Op dit moment is het raadzaam om na te denken over of het risico van de kwetsbaarheid opweegt tegen het effect van de fix. Er is nog steeds hoop op een goede oplossing vanuit Intel, al heeft Intel later aangegeven dat dit nog wel eens lang kan duren en waarschijnlijk alleen voor nieuwe(re) processoren geldt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.