Während einige Linux-Enthusiasten empfehlen Benutzern dringend, ihre Systeme mit dem Kernel-Parameter „mitigations=off“ zu booten, um verschiedene relevante CPU-Sicherheitsminderungen für Spectre, Meltdown, L1TF, TAA, Retbleed und Co. mit dem neuen AMD Ryzen 7000 „Zen 4-Zoll-Prozessoren benötigen zwar noch einige Software-Abschwächungen, sind aber größtenteils überraschend schneller, wenn die relevanten Abschwächungen aktiviert bleiben.
Mit AMD Zen 4-Prozessoren und den derzeit öffentlichen Sicherheitsoffenlegungen hat Linux 6.0 auf den CPUs der Ryzen 7000-Serie Speculative Store Bypass über prctl für die SSBD/Spectre V4-Minderung und Spectre V1-Minderungen von usercopy deaktiviert/SWAPGS-Barrieren und __user-Zeigerbereinigung. Dann gibt es für Spectre V2 Retpolines, bedingte Indirect Branch Predictor Barriers (IBPB), IBRS-Firmware, Always-on Single Threaded Indirect Branch Predictors (STIBP) und Return Stack Buffer (RSB) Filling. Dies sind die einzigen Software-Sicherheitsminderungen, die derzeit mit Zen 4 verbunden sind, da die neuen CPUs nicht anfällig für die Auswahl anderer bekannter Schwachstellen sind, die verschiedene CPUs betreffen.
Der Zen 4-Minderungsstatus unter Linux 6.0
Mit Zen 4 können Sie den Kernel immer noch mit mitigations=off booten, um die SSB-, Spectre V1-und Spectre V2-Minderungen zu deaktivieren, die beim Verlassen von angewendet werden System in einem”anfälligen”Zustand. Während viele zum Mitigations=off-Ansatz greifen, um die Leistungseinbußen zu vermeiden, die den verschiedenen Mitigationen zugeschrieben werden, ist dies im Fall von AMD Zen 4 auf dem Ryzen 9 7950X nicht wirklich vorteilhaft.
Zu großer Überraschung war der Standard-/Out-of-the-Box-Status mit den Mitigation Controls im Allgemeinen schneller als das Booten mit Mitigations=off. Hier sind die Benchmarks mit einem messbaren Unterschied in beide Richtungen:
Das Ausführen mit Mitigations=off war bei einigen synthetischen Benchmarks wie Stress-NG, OSBench, Sockperf und den anderen üblichen Benchmarks schneller. Aber das Beibehalten des standardmäßigen Minderungszustands führte überraschenderweise zu einem spürbaren Vorteil für die Webbrowser-Benchmarks, Stargate DAW, verschiedene OpenJDK-Workloads und andere Workloads, die in der Regel Leistungseinbußen durch die verschiedenen Sicherheitsminderungen der letzten 4+ Jahre erfahren haben.
Bei den meisten getesteten Benchmarks war es schneller, den standardmäßigen Schutzstatus beizubehalten.
Oder für die breite Spanne von 190 verschiedenen Benchmarks, die durchgeführt wurden, war das Beibehalten der Standardminderungen insgesamt etwa 3 % schneller als das Ausführen mit «Mitigations=off». Im Grunde das Gegenteil von dem, was wir normalerweise bei anderen, älteren Prozessoren sehen. Warum das Beibehalten der Standardminderungen dazu führt, dass der Ryzen 9 7950X schneller wird, ist eine gute Frage (normalerweise ist es das Gegenteil!), Aber eine, die ich mir aus Zeitgründen noch nicht die Mühe gemacht hatte, tiefer in die Systemprofilerstellung einzutauchen und es letztendlich nicht zu tun zu wichtig, da Sie sich für Produktionssysteme wirklich an die Standardsicherheitsempfehlungen halten sollten.
Wer alle 190 Benchmarks komplett durchforsten möchte, findet alle meine Daten hier. Um es kurz zu machen, bei AMD Zen 4 scheint es sich nicht zu lohnen, mit”mitigations=off”zu booten, kann sich aber tatsächlich auf einige reale Arbeitslasten negativ auswirken.