Leserbriefe

Die oben genannte Meldung erscheint teilweise etwas unplausibel.

Einerseits wird von einer Wellenlänge gesprochen und andererseits wird als Grundlage DWDM (Dense Wavelength Division Multiplex, d. Red.) genannt, welches im Kern darauf basiert, dass mehrere Wellenlängen über ein Faserpaar transferiert werden, also nicht nur eine Wellenlänge.

Wie man so hört, sind 100 Wellenlängen über eine Faser über eine Distanz von 170 km bei 1 GBit/s pro Wellenlänge mittlerweile durchaus State of the Art. Aber eben nicht eine Wellenlänge, sondern ein (enges) Spektrum. Eng muss dieses Spektrum deshalb sein, weil man sonst in den Bereich kürzerer Wellenlängen kommt, für die dann wieder größere Dämpfungswerte die Reichweite reduzieren.

Wenn tatsächlich DWDM mit 500 GBit/s pro Farbe zum Einsatz kommt, würde die Übertragungskapazität bei der heutzutage möglichen Wellenlängendichte über 50 TBit/s pro Faser betragen. Aber ob das über 100 km und mehr ohne optische Regeneration funktioniert? Bei Standard-Transceivern für 10 GBit/s über eine Wellenlänge ist wegen der zusätzlich zur Dämpfung störenden Dispersion bei 80 bis 100 km Schluss, weiter geht es derzeit nur mit 1 GBit/s (pro Farbe).

Außerdem erscheint die genannte Leitungslänge etwas seltsam. München und Regensburg sind etwa 120 Autobahnkilometer voneinander entfernt. Kabellängen liegen natürlich darüber, aber insbesondere bei den üblichen Trassenführungen von Gasline dürften kaum mehr als 20 % dazukommen – jedenfalls weit weniger als die genannten 320 km. Aber vielleicht wurde hier mal so locker-flockig die Gesamtlänge eines Faserpaars genommen – also hin und zurück, wenn man so will.

Tobias Crefeld, via E-Mail

Die Geschwindigkeit wurde auf einer Wellenlänge und nicht auf einem engen Spektrum erzielt. Wie zu erfahren war, wurden in dem Feldtest neben den 500 GBit/s auf einer Wellenlänge auf vier weitere je 200 GBit/s „gejagt“. In der Tat ist die Strecke zwischen München und Regensburg kürzer als die geschalteten 320 km. Diese setzen sich, wie vermutet, aus zwei Fasern zwischen beiden Standorten zusammen.

Bei Ausnutzung der kompletten Kapazität einer Glasfaser soll im Übrigen eine Bandbreite von bis zu 76,8 TBit/s möglich sein. Eine kleine ergänzende Information noch: Nokia, Telekoms T-Labs und TU München schafften mittels PCS-Modulationsansatz (Probabilistic Constellation Shaping) in einem Testlauf schon eine Übertragungsgeschwindigkeit von 1 TBit/s auf einer Glasfaser. Seinerzeit fand die Übertragung aber in einem engen Wellenlängenband und nicht auf einer Wellenlänge statt. (Achim Born)

Zunächst mal: Der Artikel ist gut recherchiert und fasst die Update-Situation sehr gut anwendungsorientiert zusammen.

In dem Artikel stellen Sie die Situation derart dar, dass OS-basierte Microcode-Updates genauso wirksam seien wie Firmware-Microcode-Updates. In dem Artikel „Bitrauschen“ in c’t 6/2019 heißt es aber, dass das Google Security Lab herausgefunden hätte, dass die Microcode-Updates bei der Java Engine im Browser (Chrome?) wirkungslos seien.

Auch verstehe ich schon grundsätzlich nicht, wie ein OS-basiertes Microcode-Update überhaupt in das interne MINIX-CPU-Betriebssystem der Management Engine / des Security Processor kommen soll. (Wenn die Management Engine eigene Prozesse starten könnte und beim Start eines normalen Betriebssystems weiterhin intern aktiv bleibt, wäre es ja witzlos, beim Start eines normalen Betriebssystems nachzuimpfen, oder nicht?)

Ich bin aber auch kein CPU-Architekt. Vielleicht könnten Sie da mal etwas tiefer schürfen, namentlich über das Entscheider-Niveau hinaus? HARALD CONSUL, VIA E-MAIL

Im Paper „Spectre is here to stay – An analysis of side-channels and speculative execution“ gehen die Google-Forscher davon aus, dass die aktuellen Kombinationen von Microcode- und Software-Updates nicht immer garantiert schützen. Treffenderweise schreiben sie: „As a result of our work, we now believe that speculative vulnerabilities […]“ – alleine das Wort „believe“ zeigt, dass es bislang noch niemandem gelungen ist, mathematisch beweisbare Nachweise zu liefern, was nun tatsächlich Sache ist. Die Forscher schreiben weiter, dass sie das Sicherheitsmodell des Chrome-Webbrowsers verändert haben: „In the face of this reality, we have shifted the security model of the Chrome web browser and V8 to process isolation.“

Was den Microcode-Teil betrifft: Wenn (ein und derselbe) aktualisierte Microcode zeitnah beim Booten in die CPU geladen wird, hat es praktisch keine Auswirkungen, ob dies gleich zu Beginn durch das BIOS oder unmittelbar nach Ende der Initialisierung durch das BIOS ganz zu Beginn des Betriebssystemstarts passiert. Wichtig ist, dass dann, wenn das Betriebssystem die CPU-Funktionen abfragt, der neue Microcode geladen ist und es somit die neuen CPU-Funktionen wie IBRS zum Einsatz der Schutzfunktionen erkennen kann.

Was die Minix-Firmware der Management Engine (ME) betrifft, ist der Einwand richtig – diese ist nicht im Microcode enthalten. Bei der ME/SPS/TXT-Firmware handelt es sich vielmehr um eine weitere, separate Firmware-Komponente. Diese ME-Firmware wird typischerweise auch über ein BIOS-Update aktualisiert. Es gibt aber auch Mainboard-Hersteller, die diese Updates als separates Update unabhängig vom BIOS bereitstellen. Der Unterschied hier ist, dass die ME Firmware fest in einem dauerhaften Speicher am Mainboard abgelegt wird. Ist diese einmal dort, ist es im Gegensatz zum CPU-Microcode nicht mehr erforderlich, diese ME-Firmware bei jedem Systemstart neu in die CPU zu laden. (Werner Fischer)

Ich teste diese Woche tatsächlich Google vs. Amazon mit je einem Elasticsearch-Cluster.

Erste Ergebnisse:

– Es ist tatsächlich etwas Arbeit nötig gewesen, damit das mit einer Codebasis läuft (vor allem bei den Credentials).

– Beide Instanzen laufen in Deutschland, Amazon mit einem gefühlt und gemessen schlechteren Ping. Allerdings kenne ich das System noch nicht so lange, kann sein, dass ich etwas falsch mache.

– Amazon ist anscheinend etwas preiswerter (circa 10 bis 20 Prozent, ist für uns aber unwichtig).

– Am Ende sind die Unterschiede nicht so groß. Wer einfach einen Haufen Daten mit Microservices verarbeiten möchte, ist hier gut bedient. Den Rest lassen wir bei All-Inkl. JOHN_X, AUS DEM IX-FORUM

Die Redaktion ist in Kontakt mit dem Leserbriefautor und plant, über seine Erfahrungen zu berichten.