<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr">Den tis 19 juni 2018 18:27Bill Frantz <<a href="mailto:frantz@pwpconsult.com">frantz@pwpconsult.com</a>> skrev:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 6/16/18 at 12:54 PM, <a href="mailto:guus@sliepen.org" target="_blank" rel="noreferrer">guus@sliepen.org</a> (Guus Sliepen) wrote:<br>
<br>
>the only thing you can do is halt or reboot, which is not<br>
>desirable.<br>
<br>
For most programs, death before confusion is the right answer. <br>
If the program is part of a security system, even more so.<br>
<br>
Consider electronic building locks. When the power fails, do you <br>
open the doors or leave them locked? I think the solution <br>
generally used is to leave the building locked except to those <br>
who have a physical key. Similar solutions can be used for <br>
computer security systems.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">+1</div><div dir="auto"><br></div><div dir="auto">At most you could label some memory as sensitive and some as not sensitive. However I don't exactly expect most developers to use it correctly... </div><div dir="auto"><br></div><div dir="auto">But if say all CPU instructions always were stored encrypted in RAM, as well as stacks and related important data structures, while leaving for example most client application data in plaintext (unless the application asks for encryption), then malware using rowhammer could only plausibly target application data in RAM, but not target code or access controls. It couldn't escalate privileges outside its sandbox, but for example Javascript in a browser iframe could potentially insert a call home into the page it's embedded in unless the browser also opts in to encrypt the runtime memory. </div><div dir="auto"><br></div><div dir="auto">IMHO it's better to restart a failed process than let it keep running after being targeted by rowhammer or otherwise getting the memory corrupted. Designing software to be crash tolerant is simply more effective. </div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><a href="http://www.metzdowd.com/mailman/listinfo/cryptography" rel="noreferrer noreferrer" target="_blank"></a></blockquote></div></div></div>