在計算機程序中保護密碼，信用卡號或加密密鑰將來需要較少的計算工作。位于凱澤斯勞滕和薩爾布呂肯的馬克斯普朗克軟件系統(tǒng)研究所的研究人員提出了一種名為ERIM的新技術(shù)，可以將軟件組件相互隔離。例如，當(dāng)數(shù)據(jù)由在線服務(wù)處理時，這允許保護敏感數(shù)據(jù)免受黑客攻擊。新方法的計算開銷比以前的最佳隔離技術(shù)少三到五倍，使得在線服務(wù)使用該技術(shù)更加實用。這足以讓美國計算機系統(tǒng)協(xié)會USENIX和Facebook向研究人員頒發(fā)他們的2019年互聯(lián)網(wǎng)防御獎。

計算機程序就像一個堡壘。正如堡壘受到厚厚的墻壁，護城河和鐵門，防火墻和其他安全技術(shù)的保護，可以防止網(wǎng)絡(luò)犯罪分子惡意利用軟件應(yīng)用程序。

正如一個守衛(wèi)不嚴(yán)的大門或一個據(jù)說秘密的逃生隧道可能允許圍攻者占領(lǐng)一座城堡，所有黑客都需要一個小的安全漏洞來獲取對軟件的所有組件的訪問權(quán)限。在最糟糕的情況下，他們可以獲取授予他們訪問用戶帳戶的數(shù)據(jù)，甚至允許他們進行信用卡付款。例如，廣泛使用的OpenSSL加密軟件中的Heartbleed錯誤使得各種在線服務(wù)和程序的用戶名和密碼容易受到黑客的攻擊。

軟件組件應(yīng)該像堡壘一樣隔離為了防止這種致命攻擊，軟件開發(fā)人員可以采用類似于巧妙設(shè)計的堡壘的主建造者的方式進行。他們可以將各種軟件組件彼此隔離開來，就像幾個墻壁直接進入堡壘的核心，以及任何能夠克服外圍城墻的攻擊者。

但顯然，保護越好，涉及的工作就越多：城堡需要更多的建筑材料和防護裝置，對于軟件而言，這意味著更多的計算時間。實際上，當(dāng)前用于計算機程序的隔離技術(shù)需要高達30%的CPU功率，并且相應(yīng)更多的服務(wù)器必須由在線服務(wù)運行，這也成比例地增加了基礎(chǔ)設(shè)施成本。馬克斯普朗克軟件系統(tǒng)研究所的主要科學(xué)家迪帕克加格說：“許多服務(wù)部門并不認(rèn)為這種增加的成本是合理的，因此不使用隔離技術(shù)。” “我們的隔離技術(shù)僅使用了5%的計算時間，這對公司來說非常具有吸引力。” 因此毫不奇怪，研究人員已被授予100，記憶可以用相對較少的努力進行劃分由Deepak Garg和Max Planck軟件系統(tǒng)研究所所長Peter Druschel領(lǐng)導(dǎo)的團隊巧妙地將最近在英特爾半導(dǎo)體公司生產(chǎn)的處理器中引入的硬件功能與構(gòu)建這種隔離技術(shù)的軟件技術(shù)結(jié)合起來.-。專家們稱新的硬件功能稱為內(nèi)存保護密鑰(簡稱MPK)。

但是，單憑MPK無法可靠地隔離組件，因為它仍然可以從資源豐富的黑客攻擊。Max Planck的研究人員將這種方法與另一種稱為指令重寫的技術(shù)結(jié)合使用。“軟件代碼可以通過以下方式重寫：攻擊者不再能夠繞過軟件組件之間的”墻壁““Peter Druschel說。”但是，這并沒有改變代碼的實際目的。“這兩種方法可以一起使用，以相對較少的計算工作劃分軟件應(yīng)用程序的內(nèi)存，然后將這些部分彼此隔離。為了這個目的，技術(shù)訪問操作系統(tǒng)的內(nèi)核，需要更多的計算工作。“軟件開發(fā)人員正在與時間和網(wǎng)絡(luò)罪犯進行永久競爭，”Peter Druschel說，“但數(shù)據(jù)保護仍然必須切合實際。這有時需要系統(tǒng)但非常規(guī)的方法，就像我們用ERIM追求的那樣。“