Como preciso alterar meu código para torná-lo compatível com PAC/BTI?

O BTI é bem simples e não depende de ABI de software (além do BTI estar habilitado em primeiro lugar). Na versão atual ( K.a) do manual , o comportamento é documentado na seção "D8.4.5.3 PSTATE.BTYPE". Em essência:

• As instruções de ramificação de borda para frente se dividem em duas categorias:

  • br, braa, braaz, brabebrabz
  • blr, blraa, blraaz, blrab,blrabz

  Usarei bre blrcomo uma abreviação para essas categorias.

• Há três novas instruções: bti c, bti je bti jc.

• blros ramos devem pousar em uma instrução bti cou bti jc.

• brramificações que usam um registrador diferente de x16e x17para o endereço de destino devem pousar em uma instrução bti jou bti jc.

• brramificações que usam x16ou x17para o endereço de destino podem pousar em qualquer btiinstrução.

• paciaspe pacibspagir como bti cou bti jccom base em alguns bits SCTLR_ELnpara o regime de tradução relevante - apenas assuma bti cque está seguro.

Então, para ser compatível com o código BTI, você precisa:

• Prefixe todas as suas funções que podem ser invocadas via ramificação indireta com paciasp, pacibspou bti c.
• Certifique-se de que todas as chamadas finais e importações (apenas aquelas usadas brpara chamar funções reais) usem x16or x17.
• Adicione bti ja todos os alvos possíveis do estilo switch brs.

PAC é uma fera completamente diferente. Isso depende do ABI exato de tudo em sua pilha - gnuvs musl, C vs C++, __attribute__especificadores em arquivos de cabeçalho, ...

A especificação AAPCS64 não define uma ABI de autenticação de ponteiro. PAUTHELF64 tem algumas definições sobre como codificar coisas no formato de arquivo ELF, mas crucialmente não define como essas coisas devem ser escolhidas .

Basicamente, qualquer síntese de ponteiro de código, qualquer ramificação indireta e potencialmente até mesmo cargas de memória podem precisar de instruções PAC, totalmente definidas pela implementação.

Agora, para sua sorte, -mbranch-protection=standardparece usar PAC quase nada. Da documentação do flag :

-mbranch-protection=none|standard|pac-ret[+leaf+b-key]|bti

Selecione os recursos de proteção de ramificação a serem usados. noneé o padrão e desativa todos os tipos de proteção de ramificação. standardativa todos os tipos de recursos de proteção de ramificação. Se um recurso tiver opções de ajuste adicionais, standarddefina-o para seu nível padrão. pac-ret[+leaf]ativa a assinatura de endereço de retorno para seu nível padrão: funções de assinatura que salvam o endereço de retorno na memória (funções não-folha praticamente sempre farão isso) usando a tecla a. O argumento opcional leafpode ser usado para estender a assinatura para incluir funções folha. O argumento opcional b-keypode ser usado para assinar as funções com a tecla B em vez da tecla A. btiativa o mecanismo de identificação de alvo de ramificação.

Basicamente, isso usa apenas PAC para proteger frames de pilha, o que não afeta o ABI entre diferentes unidades de compilação. Se você quiser manter as propriedades de segurança da opção, todas as suas funções que vazarem x30precisarão de um paciaspantes do vazamento e um autiaspentre o reload e o ret. (Se seu código não precisa ser capaz de rodar em hardware sem suporte a PAC, você pode combinar o autiasp+ retem um único retaa).