验证逻辑和规模

七年多前，网络安全研究人员被Meltdown和Spectre的发现彻底惊慌失措，这两个主要的安全漏洞是在地球上几乎每台计算机的微处理器中发现的。

也许这些漏洞最可怕的一点是，它们不是源于典型的软件错误或物理CPU问题，而是源于实际的处理器架构。这些攻击改变了我们对系统中什么是可信的理解，迫使安全研究人员从根本上重新检查他们把资源放在哪里。

这些攻击源于一种被称为“推测执行”的优化技术，这种技术本质上使处理器能够在等待内存时执行多个指令，然后丢弃不需要的指令。这有点像在书中提前阅读，假设你知道接下来会发生什么。如果预测是错误的，处理器会丢弃推测执行指令的结果。然而，即使是这些被丢弃的指令也会在处理器的内部状态中留下痕迹，攻击者可以利用这些痕迹泄露敏感信息。

为此，麻省理工学院计算机科学与人工智能实验室（CSAIL）的一个团队开发了一个正式的验证方案，用于对在所谓的“寄存器传输级别”（RTL）工作的无序处理器进行安全猜测。RTL在指定电路的物理布局之前定义和优化电路的功能，并捕获关于侧通道攻击漏洞的关键细节。（这就像一个蓝图，显示了信息是如何在处理器内传递和处理的，而不涉及底层电路的细节。）

RTL验证对于在交付生产之前降低芯片设计中隐藏错误的风险至关重要。现有技术通常难以在复杂设计上实现可扩展性，并且缺乏跨不同防御机制的可重用性，但CSAIL研究人员的“合同影子逻辑”方法利用计算机架构洞察力，通过结合从处理器执行中提取必要信息的影子逻辑来减少验证所需的手动工作。

合同影子逻辑在证明安全设计的安全性和识别不安全设计中的漏洞方面展示了改进的性能，特别是对于像BOOM这样的复杂处理器。与基线验证方案相比，该团队的方法论可以比经常“超时”（未能在7天内产生证明）的基线方法更快地证明安全设计的安全性。它还被用于发现其他方法难以解决的不安全设计中的漏洞，并且只需几百行代码就可以做到这一点，而像唯一程序执行检查（UPEC）这样的系统在某些情况下需要超过20,000行。

该项目由麻省理工学院、普林斯顿大学和瑞士洛桑联邦理工学院（EPFL）的计算机科学家牵头。麻省理工学院方面，博士生杨宇恒与严梦佳助理教授合作，普林斯顿方面，博士生谭秦汉与沙拉德·马利克教授合作。第五位合著者是EPFL助理教授Thomas Bourgeat。该团队将于4月在荷兰举行的2025年ACM编程语言和操作系统架构支持国际会议（ASPLOS）上发表该论文。