本帖最后由 mikasa_mikoto 于 2016-10-12 20:38 编辑
source:http://wccftech.com/amd-zen-encryption-sme-sev-hw-based-sha/对照:http://www.mykancolle.com/?post=664
自翻,转载请注明出处,严禁私自篡改标题、内容以及二次投递。
今天我要讲的是Zen架构的一个杀手锏特性。我们的读者大多数是硬件发烧友,对于你们来说这篇新闻可能没多大意义。但对于目前立场上的AMD来说,营收的主要部分还是来自企业级市场。对于企业用户,数据安全是极为重要的,因此AMD Zen将带来非常先进的加密特性:比如SME和SEV,这些特性在Intel同级别的任何架构中还未出现。
AMD Zen新增安全协处理器:将带来 SME(安全内存加密),SEV(安全虚拟化加密)以及基于硬件的SHA
这三个特性将会使得Zen在企业级市场具有很大吸引力。头两个特性叫SME和SEV,意思是安全内存加密和安全虚拟化加密,第三个特性是基于硬件的SHA。到发布的时候, Zen的对手 - Skylake和Kaby Lake都缺少这些特性。直到Cannonlake和Coffe Lake才会出现部分类似的特性。
这些都要归功于Zen内嵌的“安全协处理器”。比如我有一个网站,放在VPS上,根据负载自动增加资源,实际上就是放在了云端 --你访问的就是一台物理服务器上运行的虚拟化服务器的一个实例。这个虚拟服务器可以自动调节资源。
这基本上意味着我们的所有数据,包括敏感用户数据,都以未加密的形式放在服务器的内存里。这同时意味着你的云服务提供商要良心,不会搞些偷鸡摸狗的事,不然任何物理内存攻击就直接可以换来虚拟服务器的一份拷贝 - 还有里面的所有明文数据。这个问题不算太大,因为攻击者必须保证内存不断电 - 不然RAM内的数据就会清掉。这使得攻击相当困难(但并不是不可能)。Intel服务器目前没有任何支持虚拟化的内存加密技术。现在只有SGX - Software Guard Extensions ,但这玩意不能被虚拟化,所以不如Zen的SEV/SME。
Zen SEV - 安全云计算的救命稻草?
但随着NVDIMM(非易失性存储器)的逐步推进,这个问题马上就会变成大问题。NVDIMM不具有易失性存储器那种天生的断电丢数据特性,这会大大降低网络攻击的难度。因为内存里的数据都是未加密的,攻击者要做的就只有断电、拔走内存或者复制内容。里面的所有东西 - 包括密码、机密数据、号码 - 都是明文。说穿了,NVDIMM就是物理攻击者的新宝藏。
Zen上的SME则支持对正在使用的内存进行完全加密。你的数据在互联网上传输、存储在服务器的HDD或者SSD上的时候都是加密的,但在RAM里,它永远都是以明文形式存在。有了SME,我们可以加密内存,将这最后一扇“明文”的大门关上 - 实现真正的端到端安全。
主内存加密由集成的内存控制器上的独立硬件进行。每个控制器都有一个高性能AES引擎,可以加密写入DRAM的数据,在读取的时候再解密。加密技术为AES-128。
正如之前提到的,Intel也有SGX技术,但这个特殊指令集不能被虚拟化,所以Intel目前还没有与AMD相对抗的内存加密标准。多亏了 SME,我们还能多一项特别有用的特性:Zen SEV - 安全加密虚拟化。
SEV是AMD-V架构的拓展,兹瓷在一个hypervisor管理下运行多个VM虚拟机。当SEV开启后,SEV硬件会给所有代码和数据加上名为VM ASID的tag,用来判断数据源自哪个虚拟机,或者是为了哪个虚拟机所准备的数据。只要数据还在SOC上,这个tag就会一直保留,阻止数据被所有者之外的其他人盗用。在SOC内部有tag保护数据,而在SOC外就是上面提到的AES128加密来保护数据。
这是云计算(以及对安全敏感的用户)的救命稻草,它能让用户加密虚拟化的整个实例。就算你的云服务提供商很无良,背后搞些小动作,加了密之后你的数据还是安全的。
Zen也会带来硬件SHA - 这意味着新处理器的加解密性能提升会非常显著,甚至会超过intel!要知道,目前Intel还没有硬件SHA,直到Cannonlake才会有 - 然而我们在上面已经提了SGX的弊端 - 不能被虚拟化。因此在Zen发布的时间点,Zen将会是唯一一个具有硬件SHA加密、SME/SEV安全特性的X86处理器。接下来就等Intel出招了。
|