Impact Spectre- en Meltdown-bescherming op Linux gemeten

[Captain Kirk]

De afgelopen maanden zijn verschillende beveiligingsmaatregelen voor de Spectre- en Meltdown-aanvallen verschenen, alsmede voor varianten zoals L1 Terminal Fault (L1TF)/Foreshadow. De aanvallen maken gebruik van de technieken die processors toepassen om de prestaties te verbeteren.

De beveiligingsmaatregelen die chipfabrikanten en ontwikkelaars van besturingssystemen ontwikkelden hebben in veel gevallen dan ook een impact op de systeemprestaties. Website Phoronix wilde zien wat de gevolgen van de recente mitigaties zijn voor systemen met Linux-kernel 4.19. Vervolgens werden de systeemprestaties van een kernel zonder beveiligingsmaatregelen vergeleken met die van een kernel die wel tegen Spectre, Meltdown en Foreshadow bescherming biedt.

De testsystemen waren zowel met een AMD- als Intel-processor uitgerust. Tijdens een benchmark waarbij de prestaties tijdens het compileren werden gemeten bleek de Linux-kernel met beveiligingsmaatregelen in combinatie met een Intel-processor 7 tot 16 procent langzamer te zijn. In het geval van AMD was de impact met 3 tot 4 procent veel minder groot.

Tijdens de test met Hackbench, een benchmark en stresstest voor de Linux-kernelscheduler, moesten de Intel-processors zo'n 20 procent aan prestaties inleveren. Wederom was er bij AMD geen impact waarneembaar. Bij een andere test werd gewerkt met een PostgreSQL-databaseserver, waarbij de impact direct aan reële situaties is te koppelen. De Intel-processors met een beveiligde Linux-kernel leveren zo'n 7 tot 5 procent in. Ook bij deze tests is de impact op de AMD-systemen verwaarloosbaar.

De test met de NGINX-webserver liet bij het Intel Xeon-systeem een 20 procent impact zien. Ook bij het tekenprogramma GIMP zorgen de beveiligingsmaatregelen tegen Spectre en Meltdown voor prestatieverlies. Intel-processors moeten 5 tot 10 procent van de prestaties inleveren, tegenover 0 tot 2 procent bij de AMD-systemen. De tests waren vooral op serversystemen gericht, maar Phoronix overweegt ook meer desktopgerelateerde tests uit te voeren als hier belangstelling voor is.

 

 

bron: security.nl