在线咨询
eetop公众号 创芯大讲堂 创芯人才网
切换到宽版

EETOP 创芯网论坛 (原名:电子顶级开发网)

手机号码,快捷登录

手机号码,快捷登录

找回密码

  登录   注册  

快捷导航
搜帖子
查看: 4178|回复: 3

[PC硬件] AMD Zen架构将带来SME, SEV以及基于硬件的SHA等独家加密特性

[复制链接]
发表于 2016-11-16 20:25:14 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

x
本帖最后由 mikasa_mikoto 于 2016-10-12 20:38 编辑


source:http://wccftech.com/amd-zen-encryption-sme-sev-hw-based-sha/对照:http://www.mykancolle.com/?post=664
自翻,转载请注明出处,严禁私自篡改标题、内容以及二次投递。


今天我要讲的是Zen架构的一个杀手锏特性。我们的读者大多数是硬件发烧友,对于你们来说这篇新闻可能没多大意义。但对于目前立场上的AMD来说,营收的主要部分还是来自企业级市场。对于企业用户,数据安全是极为重要的,因此AMD Zen将带来非常先进的加密特性:比如SME和SEV,这些特性在Intel同级别的任何架构中还未出现。

AMD Zen新增安全协处理器:将带来 SME(安全内存加密),SEV(安全虚拟化加密)以及基于硬件的SHA


这三个特性将会使得Zen在企业级市场具有很大吸引力。头两个特性叫SME和SEV,意思是安全内存加密和安全虚拟化加密,第三个特性是基于硬件的SHA。到发布的时候, Zen的对手 - Skylake和Kaby Lake都缺少这些特性。直到Cannonlake和Coffe Lake才会出现部分类似的特性。

这些都要归功于Zen内嵌的“安全协处理器”。比如我有一个网站,放在VPS上,根据负载自动增加资源,实际上就是放在了云端 --你访问的就是一台物理服务器上运行的虚拟化服务器的一个实例。这个虚拟服务器可以自动调节资源。


这基本上意味着我们的所有数据,包括敏感用户数据,都以未加密的形式放在服务器的内存里。这同时意味着你的云服务提供商要良心,不会搞些偷鸡摸狗的事,不然任何物理内存攻击就直接可以换来虚拟服务器的一份拷贝 - 还有里面的所有明文数据。这个问题不算太大,因为攻击者必须保证内存不断电 - 不然RAM内的数据就会清掉。这使得攻击相当困难(但并不是不可能)。Intel服务器目前没有任何支持虚拟化的内存加密技术。现在只有SGX - Software Guard Extensions ,但这玩意不能被虚拟化,所以不如Zen的SEV/SME。

Zen SEV - 安全云计算的救命稻草?


但随着NVDIMM(非易失性存储器)的逐步推进,这个问题马上就会变成大问题。NVDIMM不具有易失性存储器那种天生的断电丢数据特性,这会大大降低网络攻击的难度。因为内存里的数据都是未加密的,攻击者要做的就只有断电、拔走内存或者复制内容。里面的所有东西 - 包括密码、机密数据、号码 - 都是明文。说穿了,NVDIMM就是物理攻击者的新宝藏。



Zen上的SME则支持对正在使用的内存进行完全加密。你的数据在互联网上传输、存储在服务器的HDD或者SSD上的时候都是加密的,但在RAM里,它永远都是以明文形式存在。有了SME,我们可以加密内存,将这最后一扇“明文”的大门关上 - 实现真正的端到端安全。

主内存加密由集成的内存控制器上的独立硬件进行。每个控制器都有一个高性能AES引擎,可以加密写入DRAM的数据,在读取的时候再解密。加密技术为AES-128。

正如之前提到的,Intel也有SGX技术,但这个特殊指令集不能被虚拟化,所以Intel目前还没有与AMD相对抗的内存加密标准。多亏了
SME,我们还能多一项特别有用的特性:Zen SEV - 安全加密虚拟化。

SEV是AMD-V架构的拓展,兹瓷在一个hypervisor管理下运行多个VM虚拟机。当SEV开启后,SEV硬件会给所有代码和数据加上名为VM ASID的tag,用来判断数据源自哪个虚拟机,或者是为了哪个虚拟机所准备的数据。只要数据还在SOC上,这个tag就会一直保留,阻止数据被所有者之外的其他人盗用。在SOC内部有tag保护数据,而在SOC外就是上面提到的AES128加密来保护数据。

这是云计算(以及对安全敏感的用户)的救命稻草,它能让用户加密虚拟化的整个实例。就算你的云服务提供商很无良,背后搞些小动作,加了密之后你的数据还是安全的。

Zen也会带来硬件SHA - 这意味着新处理器的加解密性能提升会非常显著,甚至会超过intel!要知道,目前Intel还没有硬件SHA,直到Cannonlake才会有 - 然而我们在上面已经提了SGX的弊端 - 不能被虚拟化。因此在Zen发布的时间点,Zen将会是唯一一个具有硬件SHA加密、SME/SEV安全特性的X86处理器。接下来就等Intel出招了。


发表于 2017-1-10 10:15:57 | 显示全部楼层
thanks for your share!
发表于 2018-8-1 15:39:18 | 显示全部楼层
不错不错~~~不错不错~~~
发表于 2018-12-23 20:47:47 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

×

小黑屋| 手机版| 关于我们| 联系我们| 在线咨询| 隐私声明| EETOP 创芯网
( 京ICP备:10050787号 京公网安备:11010502037710 )

GMT+8, 2024-11-5 12:42 , Processed in 0.023834 second(s), 7 queries , Gzip On, Redis On.

eetop公众号 创芯大讲堂 创芯人才网
快速回复 返回顶部 返回列表