{"id":4976,"date":"2018-04-05T17:15:18","date_gmt":"2018-04-05T15:15:18","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=4976"},"modified":"2026-01-16T10:22:14","modified_gmt":"2026-01-16T09:22:14","slug":"linux-4-16-mit-spectre-und-meltdown-absicherung","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/linux-4-16-mit-spectre-und-meltdown-absicherung\/","title":{"rendered":"Linux 4.16 mit Spectre- und Meltdown-Absicherung"},"content":{"rendered":"

Linus Torvalds hat in der Nacht auf Ostermontag die Linux-Version 4.16 freigegeben<\/a>. Eine optimierte Akkulaufzeit sowie ein verbesserter Schutz gegen die Prozessorl\u00fccke Spectre geh\u00f6ren genauso zu den Highlights von Linux 4.16 wie die Unterst\u00fctzung der AMD Speicherverschl\u00fcsselung durch den integrierten Hypervisor.<\/p>\n

Verbesserte Akkulaufzeiten unter Linux 4.16<\/h2>\n

Die neue Option „CONFIG_SATA_MOBILE_LPM_POLICY“ verspricht eine optimierte Akkulaufzeit bei Notebooks, in denen Intels Mobil-Chips verbaut sind. Bereits beim Kernel-Bau k\u00f6nnen Anwender also festlegen, ob und wie Linux die Stromspartechnik ATA Link Power Management (kurz: ALPM) nutzt. Diese Technik f\u00fchrt dazu, die Leistungsaufnahme im Leerlauf zu senken. Die Akkulaufzeit kann so schnell mal um 30 bis 60 Minuten erh\u00f6ht werden.<\/p>\n

W\u00e4hrend diese Stromspartechnik bei Notebooks mit Intel Mobil-Chips\u00e4tzen automatisch genutzt werden soll, muss man sie bei anderen Notebooks, Desktop-PCs und Servern nach wie vor manuell aktivieren: Schreiben Sie daf\u00fcr „med_power_with_dipm“ in Dateien wie „\/sys\/class\/scsi_host\/host0\/link_power_management_policy“. Der kleine Performance-Verlust, der bei Stromspartechniken wie dieser einfach auftaucht, ist meist nicht der Rede wert.<\/p>\n

Eine weitere Neuerung verbessert die Akku-Laufzeiten bei Notebooks: Bereits beim Kernel-Bau k\u00f6nnen Anwender festlegen, dass via USB angeschlossene Bluetooth-Hardware automatisch schlafen geht (USB Autosuspend). Dies kann die Akkulaufzeit gerade bei sparsamen Notebooks und Ultrabooks signifikant steigern.<\/p>\n

Performance-Steigerung durch Entschlackung des Routing-Codes<\/h3>\n

Um die Performance zu steigern, haben die Kernel-Entwickler diverse Umbauten vorgenommen. So wurden die Kernel-intern verwendeten Routing-Strukturen entschlackt, was das Performance-Plus ausmacht. Details dazu finden Sie in den Pr\u00e4sentationsfolien<\/a> des Vortrags „Linux Networking Dietary Restrictions“<\/a>.<\/p>\n

Linux 4.16 verbessert Sicherheit<\/h3>\n

Die Entwickler haben zum Schutz vor Spectre nach m\u00f6glichen f\u00fcr die L\u00fccke anf\u00e4lligen Stellen im Linux Kernel-Code gesucht. Entsprechende Stellen haben sie so ge\u00e4ndert, dass spekulative Ausf\u00fchrungen unterbunden werden. Dies kann vor allem durch das Aufrufen des daf\u00fcr geschaffenen Makros „array_index_nospec()“ gelingen (weitere Informationen in der Dokumentation<\/a>). Es kann sein, dass die Entwickler andere Stellen noch \u00e4hnlich anpassen werden<\/a>. Bei der Weiterentwicklung ist zudem darauf zu achten, dieses Makro auch bei neuem Code zu verwenden \u2013 vorausgesetzt, dieser weist potenziell anf\u00e4llige Abschnitte auf.<\/p>\n

Gegen die zweite Spectre-Variante setzen die Entwickler weiterhin auf das aus Linux 4.15 bekannte Retpoline. Jedoch reicht dieser Ansatz in einigen Situationen nicht aus \u2013 etwa bei der Virtualisierung. Deshalb haben die Linux-Entwickler nachgebessert: Der Kernel nutzt in diversen Situationen Funktionen zur IBC („Indirect Branch Control“ = Oberbegriff f\u00fcr diverse Prozessor-Flags, die die Prozessorhersteller Intel und AMD mit dem neuen Microcode nachr\u00fcsten). Da Retpoline zum sicheren Virtualisieren mit dem Hypervisor KVM jedoch nicht ausreicht, verwendet Linux 4.16 die IBC-Funktion Indirect Branch Prediction Barrier (IBPB) \u2013 so sollen weitere Gefahren eliminiert werden.<\/p>\n

Schon seit Anfang dieses Jahres existieren Patches gegen Meltdown: Page Table Isolation (PTI) wurde in der Zwischenzeit noch verfeinert. Bis s\u00e4mtliche Distributionen jedoch diese Patches zur Verf\u00fcgung stellen, wird noch einige Zeit ins Land ziehen. Mit den folgenden Befehlen kann jedoch gepr\u00fcft werden, ob ein System sicher ist:
\n„cat
\n\/sys\/devices\/system\/cpu\/vulnerabilities\/spectre_v1, cat
\n\/sys\/devices\/system\/cpu\/vulnerabilities\/spectre_v2 und cat
\n\/sys\/devices\/system\/cpu\/vulnerabilities\/meltdown“<\/p>\n

Weitere Neuerungen von Linux 4.16 k\u00f6nnen Sie in diesem ausf\u00fchrlichen c’t-Beitrag<\/a> nachlesen.<\/p>\n

Ausblick auf Linux-Kernel 4.17<\/h3>\n

Kaum ist Linux 4.16 freigegeben, beginnt\u00a0schon die hei\u00dfe Entwicklungsphase des Nachfolgers Linux 4.17. Die Version wird im Juni 2018 erwartet. Die Entwickler planen, die in der Version 4.13 eingef\u00fchrte TLS-Implementierung aufzubohren, womit der Kernel die empfangenen Daten selbst entschl\u00fcsseln kann.<\/p>\n

Bereits mehr als 2.400 \u00c4nderungen hat Linus Torvalds f\u00fcr Linux 4.17 bereits eingepflegt. Darunter finden sich Grafiktreiber-Neuerungen<\/a>, aber auch Patches<\/a>, die Code f\u00fcr acht Prozessorarchitekturen entfernen. Damit wurde der Kernel-Code um rund 465.000 Zeilen schlanker.<\/p>\n