Мне все еще трудно понять, как Meltdown использует умозрительное исполнение. В примере, приведенном в статье (тот же, что я упоминал здесь ранее), используется только IMO OoO - @Name в комментарии

Расплавление основано на процессорах Intel, которые оптимистично полагают, что нагрузки не будут давать сбой, и что если сбойная нагрузка достигнет портов нагрузки, то это было результатом ранее ошибочно предсказанной ветви. Таким образом, загрузка uop будет помечена, поэтому она выйдет из строя, если достигнет выхода на пенсию, но выполнение будет продолжаться спекулятивно с использованием данных, содержащихся в записи таблицы страниц, которые запрещают читать из пространства пользователя.

Вместо того чтобы запускать дорогостоящее восстановление исключений при выполнении нагрузки, она ждет, пока она определенно не выйдет на пенсию, потому что это дешевый способ для механизма обработать пропущенную ветвь -> случай плохой нагрузки. В аппаратном обеспечении трубе легче поддерживать трубопровод, если вам не нужно, чтобы она остановилась / остановилась для правильности. Например, загрузка, в которой вообще нет записи в таблице страниц и, следовательно, отсутствует TLB, должна ждать. Но ожидание даже при попадании в TLB (для записи с разрешениями, которые блокируют его использование) добавило бы сложности. Обычно ошибка страницы возникает только после сбоя при просмотре страницы (который не находит запись для виртуального адреса), или при прекращении загрузки или хранения, в котором не удалось получить разрешения для записи TLB, к которой она обращалась.

В современном конвейерном процессоре OoO все инструкции считаются спекулятивными до выхода на пенсию. Только после выхода на пенсию инструкции становятся не спекулятивными. Механизм Out-of-Order на самом деле не знает и не заботится, спекулирует ли он на одной стороне ветви, которая была предсказана, но еще не выполнена, или спекулирует прошлыми потенциально неисправными нагрузками. "Предположение" о том, что загрузка не вызывает сбоев, или инструкции ALU не вызывают исключений, происходит даже в процессорах, которые на самом деле не считаются спекулятивными, но полностью неупорядоченное выполнение превращает это в просто еще один вид спекуляций.

Меня не слишком беспокоит точное определение "спекулятивного исполнения", а также то, что имеет значение, а что нет. Меня больше интересует, как на самом деле работают современные нестандартные конструкции, и что на самом деле проще даже не пытаться отличить спекулятивное от не спекулятивного до конца конвейера. Этот ответ даже не пытается обратиться к более простым порядковым конвейерам с умозрительной выборкой команд (основанной на предсказании ветвления), но не с выполнением или где-то между этим и полноценным алгоритмом Томасуло с планировщиком ROB + с OoO exec + in порядок выхода на пенсию за точными исключениями.

Например, только после выхода из строя хранилище может фиксировать данные из буфера хранилища в кэш L1d, но не раньше. И чтобы поглотить короткие всплески и промахи в кэше, это не должно происходить как часть выхода на пенсию. Таким образом, одна из единственных не спекулятивных вещей не по порядку - это привязка магазинов к L1d; они определенно произошли с точки зрения архитектурного состояния, поэтому они должны быть завершены, даже если происходит прерывание / исключение.

Механизм отказа, если достигнуто, является хорошим способом избежать дорогостоящей работы в тени ошибочного прогноза филиала. Это также дает процессору правильное архитектурное состояние (значения регистров и т. Д.), Если исключение срабатывает. Вам это нужно, независимо от того, позволяете ли вы механизму OoO продолжать выполнять инструкции после того, как вы обнаружили исключение.

Пропуски ветвления являются особыми: существуют буферы, которые записывают микроархитектурное состояние (например, распределение регистров) в ветвях, поэтому восстановление ветвей может откатиться к этому, вместо того чтобы очищать конвейер и перезапускать из последнего известного исправного состояния выхода из системы. Филиалы действительно неправильно прогнозируют реальный код. Другие исключения очень редки.

Современные высокопроизводительные процессоры могут сохранять (не по порядку) выполнение мопов до того, как пропустит переход, при этом отбрасывая моп и результаты выполнения после этого момента. Быстрое восстановление намного дешевле, чем отбрасывать и перезапускать все из состояния выхода на пенсию, которое потенциально далеко отстает от точки, в которой был обнаружен неправильный прогноз.

Например, в цикле инструкции, которые обрабатывают счетчик цикла, могут значительно опередить остальную часть тела цикла и обнаружить неверный прогноз в конце достаточно быстро, чтобы перенаправить интерфейс и, возможно, не потерять значительную реальную пропускную способность, особенно если узким местом была задержка цепочки зависимостей или что-то иное, чем пропускная способность uop.

Этот оптимизированный механизм восстановления используется только для ветвей (поскольку буферы моментальных снимков состояния ограничены), поэтому пропуски ветвей относительно дешевы по сравнению с полными сбросами конвейера. (например, на Intel, машина упорядочения памяти очищает, счетчик производительности machine_clears.memory_ordering: Каковы затраты времени ожидания и пропускной способности совместного использования производителем и потребителем места в памяти между гипер-братьями и сестрами и не-гипер-братьями и сестрами?)

Исключения не являются неслыханными, хотя; сбои страниц происходят в обычном режиме работы. например, сохранение на странице только для чтения запускает копирование при записи. Загрузка или сохранение на не отображенную страницу запускает загрузку страницы или обработку отложенного отображения. Но тысячи или миллионы инструкций обычно выполняются между каждой ошибкой страницы даже в процессе, который часто выделяет новую память. (1 на микро или миллисекунды на 1 ГГц процессоре). В коде, который не отображает новую память, вы можете идти намного дольше без исключений. В основном, просто прерывание по таймеру, время от времени при чистом переборе чисел без ввода-вывода.

Но в любом случае, вы не хотите запускать очистку конвейера или что-то дорогое, пока не будете уверены, что исключение действительно сработает. И вы уверены, что у вас есть правильное исключение. например, возможно, адрес загрузки для более ранней сбойной загрузки не был готов так скоро, поэтому первая сбойная сбойная загрузка, которая будет выполнена, была не первой в программном порядке. Ожидание выхода на пенсию - дешевый способ получить точные исключения. Дешевый с точки зрения дополнительных транзисторов, чтобы справиться с этим делом, и позволить обычному механизму выхода на пенсию выяснить, какие именно исключения происходят быстро.

Бесполезная работа, выполняемая при выполнении инструкций после команды, помеченной как ошибка при выходе на пенсию, стоит совсем немного энергии и не стоит блокировать, потому что исключения встречаются так редко.

Это объясняет, почему имеет смысл проектировать оборудование, которое было уязвимо в первую очередь для Meltdown. Очевидно, что продолжать это делать небезопасно, теперь, когда об этом думают.

Исправление Meltdown дешево

Нам не нужно блокировать спекулятивное выполнение после ошибочной загрузки; нам просто нужно убедиться, что он на самом деле не использует конфиденциальные данные. Проблема заключается не в том, что нагрузка преуспевает спекулятивно, а Meltdown основана на следующих инструкциях, использующих эти данные для создания зависимых от данных микроархитектурных эффектов. (например, касание строки кэша на основе данных).

Таким образом, если порты загрузки маскируют загруженные данные на ноль или что-то еще, а также устанавливают флаг отказа при выходе из строя, выполнение продолжается, но не может получить никакой информации о секретных данных. Это должно занять примерно 1 дополнительную задержку шлюза критического пути, что, вероятно, возможно в портах загрузки без ограничения тактовой частоты или добавления дополнительного цикла задержки. (1 тактовый цикл достаточно длинный, чтобы логика распространялась через множество вентилей И / ИЛИ на стадии конвейера, например, полный 64-битный сумматор).

Связанный: я предложил тот же механизм для исправления HW для Meltdown в Почему процессоры AMD не менее / менее уязвимы для Meltdown и Spectre?,