Meningkatnya biaya serangan siber telah mendorong keamanan memori dari sekadar keprihatinan akademis menjadi prioritas mendesak. Sementara solusi perangkat keras seperti CHERI mendapatkan dukungan institusional, komunitas teknologi secara aktif memperdebatkan apakah pendekatan alternatif mungkin menawarkan kompatibilitas, kinerja, atau jaminan keamanan yang lebih baik untuk berbagai lingkungan komputasi.
Alternatif Perangkat Lunak Menantang Dominasi Perangkat Keras
Sementara CHERI dan OMA mewakili solusi di tingkat perangkat keras, beberapa pengembang berargumen bahwa pendekatan berbasis perangkat lunak mungkin dapat mencapai manfaat keamanan yang serupa tanpa memerlukan silikon baru. Salah satu contoh yang menonjol dibahas adalah Fil-C, sebuah implementasi perangkat lunak dari keamanan berbasis kemampuan yang mempertahankan kompatibilitas C/C++ tanpa mengubah ukuran pointer.
Fil-C yang berjalan di mesin x86 mana pun lebih cepat daripada implementasi CHERI mana pun yang pernah ada. Kemungkinan besar ini juga berlaku di sistem tertanam, hanya karena hubungan antara volume dan kinerja dalam silikon.
Perspektif ini menyoroti ketegangan penting dalam adopsi keamanan memori: pertukaran antara solusi perangkat lunak segera dan transformasi perangkat keras jangka panjang. Pencipta Fil-C mencatat bahwa pendekatan mereka menjaga kompatibilitas dengan basis kode yang sudah ada seperti CPython, yang dilaporkan tidak berjalan pada sistem CHERI karena manipulasi pointer dalam implementasi bytecode-nya.
Pemisahan Keamanan Temporal
Perbedaan teknis utama yang muncul dalam diskusi berpusat pada keamanan temporal - mencegah akses ke memori setelah dibebaskan. Analisis komunitas mengungkapkan bahwa pendekatan CHERI terhadap masalah ini menghadapi kritik, dengan seorang komentator mencatat bahwa cerita CHERI sangat lemah dibandingkan dengan pengumpulan sampah yang terintegrasi perangkat keras milik OMA.
Diskusi tersebut mengungkapkan bahwa CHERI tidak selalu langsung menjebak kesalahan penggunaan-setelah-pembebasan jika program beroperasi cukup cepat antara pembebasan memori dan penonaktifan pointer. Keterbatasan ini telah mendorong penelitian ke pendekatan pelengkap seperti Cornucopia-Reloaded, yang menonaktifkan kemampuan saat memuat pointer ke halaman yang dibebaskan. Sementara itu, pengumpulan sampah di tingkat perangkat keras OMA bertujuan untuk memberikan jaminan keamanan temporal yang deterministik.
Kekhawatiran Kompatibilitas dan Hambatan Adopsi
Kompatibilitas teknis muncul sebagai tema utama di seluruh utas komentar. Komunitas mengidentifikasi tantangan signifikan dalam memporting perangkat lunak yang ada ke arsitektur baru ini, dengan fokus khusus pada kernel sistem operasi dan runtime bahasa pemrograman.
Seorang komentator mempertanyakan apakah OMA memerlukan ISA + kernel + userland yang sepenuhnya baru, menyoroti perubahan di seluruh ekosistem yang diperlukan untuk adopsi penuh. Yang lain mencatat bahwa kode C kernel biasanya tidak terbentuk dengan baik dengan cara yang mudah beradaptasi dengan sistem memori berbasis objek, menunjukkan bahwa upaya rekayasa yang substansial akan diperlukan terlepas dari arsitektur mana yang akhirnya menang.
Kekhawatiran Utama Komunitas
- Kompatibilitas: CPython dan kode kernel menghadirkan tantangan dalam proses porting
- Adopsi: Akses terbatas ke perangkat keras khusus memperlambat pengembangan
- Performa: Trade-off antara overhead keamanan dan kecepatan
- Temporal Safety: Pendekatan hardware vs software untuk perlindungan use-after-free
- Provenance: Pertanyaan tentang asal-usul teknologi dan kepemilikan paten
Solusi yang Ada dan Keterbatasannya
Percakapan tidak terbatas pada teknologi yang muncul. Komentator menunjuk pada fitur keamanan memori yang sudah ada seperti SPARC Application Data Integrity (ADI) dan Arm Memory Tagging Extensions (MTE) yang telah digunakan dalam produksi. Namun, pendekatan ini menghadapi kritik karena hanya memberikan keamanan probabilistik melalui tag yang ditentukan perangkat lunak yang mungkin bisa ditebak atau dipalsukan oleh aktor jahat.
Pelanggaran baru-baru ini terhadap Arm MTE menunjukkan keterbatasan pendekatan ini, meskipun komentator mengakui bahwa terkadang yang sempurna adalah musuh dari yang baik ketika menyangkut adopsi keamanan. Sifat probabilistik dari solusi ini kontras dengan jaminan keamanan CHERI dan OMA yang dapat dibuktikan secara matematis.
Perbandingan Pendekatan Keamanan Memori
| Pendekatan | Tipe | Fitur Utama | Keamanan Temporal | Kasus Penggunaan Utama |
|---|---|---|---|---|
| CHERI | Hardware | Pointer berbasis capability | Berbasis software | Sistem embedded, infrastruktur kritis |
| OMA | Hardware | Memori berbasis objek | Garbage collection hardware | Bahasa managed, pusat data |
| Fil-C | Software | Capability tak terlihat | Implementasi software | Sistem x86 yang ada |
| Arm MTE | Hardware | Memory tagging | Probabilistik | Perangkat mobile |
| SPARC ADI | Hardware | Memory tagging | Probabilistik | Server enterprise |
Jalan Menuju Adopsi Arus Utama
Terlepas dari janji teknis, sentimen komunitas menunjukkan bahwa baik CHERI maupun OMA menghadapi hambatan adopsi yang signifikan. Sifat khusus dari perangkat keras CHERI - dengan seorang komentator mencatat bahwa sebagian besar pengembang tidak memiliki akses ke sana - menyoroti masalah ayam-dan-telur yang dihadapi oleh arsitektur keamanan baru.
Dukungan pemerintah untuk CHERI melalui program seperti inisiatif Digital Security by Design Inggris dapat membantu mengatasi hambatan ini untuk aplikasi tertentu. Namun, resistensi ekosistem komputasi yang lebih luas terhadap perubahan mendasar menunjukkan bahwa keamanan memori mungkin tiba melalui peningkatan bertahap daripada penggantian yang revolusioner.
Kesimpulan
Diskusi komunitas mengungkapkan lanskap yang kompleks di mana tidak ada solusi tunggal yang mendominasi. Pendekatan perangkat keras seperti CHERI dan OMA menawarkan jaminan keamanan yang kuat tetapi menghadapi tantangan kompatibilitas dan adopsi. Solusi perangkat lunak seperti Fil-C memberikan manfaat segera pada perangkat keras yang ada tetapi mungkin kurang memiliki bukti keamanan yang sama ketatnya. Seiring keamanan memori menjadi semakin kritis, keragaman pendekatan ini mencerminkan beragamnya kebutuhan industri komputasi dan pengakuan bahwa lingkungan yang berbeda mungkin memerlukan solusi yang berbeda untuk tantangan keamanan mendasar ini.
Referensi: Dua Jalur Menuju Keamanan Memori: CHERI dan OMA dalam Perang Melawan Ancaman Siber