Az Intel is biztonságosabbá tenné a jövő szervereit

A vállalat követi az AMD-t a memória teljes titkosítása szempontjából, de azt még nem tudni, hogy mikor mutatkozik be saját kiterjesztésük a Xeonokban.

Az x86/AMD64-es szerverek piacán a megbízhatóság és az adatbiztonság jó ideje kritikus szempont, és erre vonatkozóan számos megoldást dolgozottak ki az érintettek. Az első igazán említésre méltó fejlesztés az Intel SGX (Software Guard Extensions) volt, ami a Xeon E3 v5 családban mutatkozott be, és meglehetősen limitáltan kezelte a problémát: segítségével a programozó képes volt levédeni egy olyan – maximum 128 MB-os – memóriaterületet, amelyhez más program nem férhetett hozzá. Ez a maga módján működött, de direkt szoftver oldali támogatást igényelt, illetve eléggé korlátozott volt a titkosítható memóriaterület mérete is.

Hirdetés

Az SGX-nél korszerűbb védelmet az AMD hozta el az Epyc processzorgenerációval, amelynek két alapvető bástyája az SME és a SEV volt. Itt már a teljes memória titkosíthatóvá vált, és ez nem csak a DRAM, hanem az NVDIMM modulokra is vonatkozott, emellett lehetőség volt a szoftverkörnyezet direkt támogatása nélküli, transzparens formában történő teljes titkosításra is, illetve a tradicionális virtualizációs technológiák egy komoly problémáját oldotta meg az SME-re épülő SEV.

Az Intel nyilván jól tudta, hogy az SGX-szel nem mennek sokra, elvégre jóval korlátozottabb lehetőségeket kínál, mint az AMD SME és SEV, így kidolgozták saját, komolyabb képességeket biztosító megoldásukat, amely a TME, azaz Total Memory Encryption nevet viseli. Ez áll magából a TME-ből, illetve az MKTME-ből (Multi-Key Total Memory Encryption), és radikálisan különbözik az SGX-től, sokkal inkább az AMD megoldására hasonlít.

Az előzetes specifikáció alapján a TME lényegében biztosítja a teljes memória titkosíthatóságát, méghozzá NIST szabványú, 128 bites kulccsal dolgozó AES-XTS algoritmussal. A memória lehet DRAM vagy NVDIMM, ez a rendszer alapvető működése szempontjából mindegy. Az MKTME a TME-re építve a virtualizációs technológiák reformjára koncentrál, és lehetővé teszi a memória több kulcs felhasználásával történő titkosítását, így az egyes virtuális gépekhez egyedi kulcs rendelhető.

Arról sajnos nincs adat, hogy az Intel TME és MKTME melyik Xeon generációban mutatkozik be először, de valószínűleg még ebben az évtizedben elérhető lesz az első hardveres implementáció.

Hirdetés

  • Kapcsolódó cégek:
  • Intel

Azóta történt

Előzmények

Hirdetés