Die unlängst entdeckten Hardwarefehler Spectre und Meltdown setzen grundlegende Sicherheitsfunktionen praktisch aller modernen Prozessoren außer Kraft und haben deshalb sogar in den nicht-fachspezifischen Medien hohe Wellen geschlagen. Zahllose Messungen untersuchen die substanziellen Performance-Nachteile der Korrekturmechanismen. Diese haben jedoch insbesondere Geschwindigkeit und Durchsatz für High-Performance- und Cloud-Computing-Systeme im Fokus.
Wie sind aber kleinere Systeme betroffen, die Echtzeit- und Safety-kritische Aufgaben im industriellen Umfeld, in Medizingeräten oder bei Automotive-Aufgaben ausführen, und bei denen die Lücken nicht nur pekuniäre Nachteile verursachen, sondern im schlimmsten Fall zum Tod von Menschen führen können? Ralf Ramsauer, Doktorand am Labor für Digitalisierung (LfD) an der Fakultät Informatik und Mathematik an der Ostbayerischen Technischen Hochschule Regensburg (OTH Regensburg), ist dieser wichtigen Frage in einem Vortrag auf der Embedded Linux Conference in Edinburgh auf den Grund gegangen.
Großes Interesse am Fachvortrag des Regensburger Teams
Mit der für einen Fachvortrag außergewöhnlichen Zahl von über 300 Zuhörerinnen und Zuhörern hatten auch die Koautoren Jan Kiszka von Siemens Corporate Research und Prof. Dr. Wolfgang Mauerer nicht gerechnet, waren aber selbstverständlich hoch erfreut über das rege Interesse. Nach einer Einführung in die komplexen technischen Details der Prozessorlücken präsentierte Ralf Ramsauer umfangreiche Messergebnisse auf unterschiedlichen Systemen, die mithilfe der Studenten Andrej Utz und Tobias Teubl aufgenommen wurden. Die Daten ermöglichen es, den Einfluss der Korrekturmaßnahmen auf das Antwortverhalten von Echtzeitsystemen zu bewerten, bei denen es nicht auf hohe Geschwindigkeit, sondern auf hohe zeitliche Genauigkeit und Verlässlichkeit ankommt.
Ein weiterer Aspekt der Arbeit war die präzise statistische Analyse der Daten, insbesondere um die Qualität der Messungen beurteilen zu können: In komplexen Systemen ist es schwierig, zufälliges Rauschen von tatsächlichen Effekten zu trennen. Auch diese Fragen konnten mit Techniken wie bayesianischem Resampling beantwortet werden, die im Feld der Safety- und Echtzeitsystemforschung nur selten zu finden sind und von Prof. Dr. Mauerer kurz vorgestellt wurden.
Überraschende Messergebnisse
Der abschließende Teil des Vortrags erweiterte die Messungen auf die Ausführung von Echtzeitsystemen im Open Source-Hypervisor Jailhouse, an dessen Entwicklung das LfD ebenfalls maßgeblich beteiligt ist. Ralf Ramsauer ist offizieller Betreuer verschiedener Teilaspekte dieses Systems und arbeitet auf Augenhöhe mit anderen Beitragenden wie Siemens, ARM, Huawei, TI, Intel und anderen Industriegrößen. Der Ansatz ermöglicht die Gestaltung von Mixed-Criticality-Architekturen, die safety-kritische und nicht-kritische Lasten auf einer gemeinsamen Hardwarebasis hermetisch voneinander abgetrennt konsolidieren.
Das überraschende Ergebnis der Messungen: Die Kosten der Virtualisierung liegen zwar geringfügig über den Kosten der Schutzmechanismen, können dafür aber aufgrund der innovativen Software-Architektur des Systems mit hoher Wahrscheinlichkeit auch gegen zukünftige Prozessorfehler schützen. Ein klarer Vorteil: Der Steuerungscode muss im Gegensatz zu den Standard-Korrekturmechanismen nicht verändert werden, sondern kann ohne Modifikation weiterlaufen - ein Vorteil, der gerade auf zertifizierten Systemen zu massiven Kosten- und Zeitersparnissen führen kann.
Die Arbeiten wurden gemeinsam mit der Siemens AG, Corporate Research, und im Rahmen des EU-Projekts iDev4.0 ausgeführt. Vom Vortrag gibt es eine Videoaufzeichnung auf YouTube.
