Ärger über Intels Lizenzbedingungen für Sicherheits-Updates

Debian-Entwickler und Linux-Kernel-Maintainer Henrique de Moraes Holschuh hat in einem Forumspost erklärt, dass Intel die Verteilung bestimmter Microcode-Updates durch krude Lizenzbedingungen verhindert. Es geht um die "license"-Datei des Linux Processor Microcode Data File, welches Intel öffentlich zum Download bereitstellt.

Das aktuelle Microcode-Update-Paket microcode-20180807.tgz enthält unter anderem Patches gegen die schwere Spectre-NG-Sicherheitslücke L1 Terminal Fault (L1TF) und ist deshalb gerade für Cloud-Server, die unter Debian laufen, wichtig. Tatsächlich steht in der Datei license:

3. LICENSE RESTRICTIONS. (...) You will not, and will not allow any third party to (i) use, copy, distribute, sell or offer to sell the Software or associated documentation; 

Außerdem verbietet diese Lizenz ausdrücklich Benchmarks, etwa den Vergleich der Rechenleistung von Prozessoren mit und ohne Schutz gegen L1TF:

You will not, and will not allow any third party to (...) (v) publish or provide any Software benchmark or comparison test results

Nur ein Irrtum?

Es ist nun eine Diskussion um diese seltsamen Lizenzbedingungen entbrannt. Andere Linux-Distributionen stören sich beispielsweise nicht daran und verteilen die Updates – die Intel als Linux Processor Microcode Data File ausdrücklich selbst als Sicherheitspatch öffentlich bereitstellt.

Möglicherweise ist Intel aber bloß eine peinliche Panne unterlaufen, denn Punkt 7 der Lizenz verpflichtet zu Vertraulichkeit – was ja bei einer von Intel selbst veröffentlichten Datei ein Widerspruch in sich ist:

7. CONFIDENTIALITY. (...) Software [is] subject to the terms and conditions of the Non-Disclosure Agreement(s) (...) (referred to herein collectively or individually as "NDA") entered into by and in force between Intel and You, (...)

Das sind typische Formulierungen einer Geheimhaltungsvereinbarung (Non-Disclosure Agreement, NDA), die Intel möglicherweise für einer Vorab-Version der Microcode-Updates von Systemherstellern für Tests verlangt hat und in der nun öffentlichen Version bloß nicht gelöscht hat.

heise online hat bei Intel bereits angefragt, ob es sich hier um ein Versehen handelt.

[Update:] Intel will "bald" eine geänderte Lizenz zu den Microcode-Updates veröffentlichen.

[2. Update:] Intel hat eine geänderte Lizenz auf dem hauseigenen Open-Source-Portal 01.org veröffentlicht, am 24. August um 9.15 MESZ war die Datei license in microcode-20180807.tgz aber noch nicht angepasst.

[3. Update:] Der Download microcode-20180807a.tgz enthält die neue Lizenz. Sie gilt nun übrigens auch für die Firmware Support Packages (FSPs) zur Integration in Open-Source-Firmwares wie Coreboot und Libreboot.

Benchmarks öffentlich

Intel hat mittlerweile selbst Benchmarks veröffentlicht, die die Auswirkungen der Schutzfunktionen gegen L1TF auf die Systemperformance darstellen sollen. Demnach gibt es in vielen Fällen keine Probleme, in einigen aber deutliche Leistungsverluste: Nämlich dann, wenn man für vollen Schutz gegen L1TF-Angriffe aus bösartigen virtuellen Maschinen Hyper-Threading deaktiviert. Dass das Abschalten von Hyper-Threading die Performance deutlich mindern kann, liegt allerdings auf der Hand. (ciw)