AMD Zen: le soluzioni di sicurezza integrate nelle CPU

Una panoramica delle funzionalità di sicurezza offerte dal co-processore presente nelle prossime CPU AMD Zen, in arrivo nel Q1 2017

AMD Zen secure processor slide

Slide dedicata alle caratteristiche del co-processore per la sicurezza

Zen è il nome che identifica la prossima ed attesa architettura x86 di AMD. E’ ormai da oltre un anno che si susseguono infatti rumor, slide e dichiarazioni ufficiali circa le potenzialità della nuova architettura che, sempre in base a quanto circolato in Rete negli ultimi tempi, sembra vere le carte in regola per mettere in difficoltà Intel, soprattutto nel settore enterprise: sebbene le vendite nel settore consumer vadano relativamente bene (l’ottimo rapporto qualità prezzo attira diversi utenti), la maggior parte delle rendite di Advanced Micro Devices arriva infatti dalle grandi compagnie.

La nuova architettura, oltre ad incrementare le prestazioni rispetto alla generazione precedente (si parla di un +40% di IPC, Instructions per Cycle), si presenta con un co-processore dedicato esclusivamente alla sicurezza del sistema, un tema particolarmente caro alle imprese. In base a quanto affermato dal portale WCCFTECH, almeno una delle tre funzionalità offerte da Zen non sarebbe presente nelle lineup attuali e future di Intel – si parla quindi dei processori Skylake e dei prossimi Karbylake, solo Cannonlake potrebbe cambiare le carte in tavola (seconda metà del 2017). Vediamo meglio quali sono e come funzionano.

Zen: cloud e crittografia

SME (Secure Memory Encryption) si occupa di applicare una chiave crittografica ai dati presenti nella memoria in uso, solitamente non protetti da alcuna misura di sicurezza e vulnerabili agli attacchi: “il crittaggio della memoria principale viene eseguito da un hardware dedicato presente nel die dei controller di memoria. Ogni controller include un engine AES (Advanced Encryption Standard) che critta i dati che sono scritti nella DRAM e li decritta ad avvenuta lettura. Il crittaggio dei dati è effettuato con una chiave a 128-bit.”

Nel caso di un sito internet ospitato nel cloud (su una piattaforma VPS in grado di scalare in base al carico di lavoro), ciò significa l’impossibilità di ottenere tutti i dati mediante un attacco mirato alla RAM del server fisico che ospita l’istanza – una manovra difficile, la memoria volatile perde infatti tutti i dati se privata dell’alimentazione, ma non impossibile.

SME dispone anche di istruzioni che possono essere virtualizzate – differenziandosi dall’alternativa Software Guard ExtensionsSecure Encrypted Virtualization (SEV) è “un’estensione dell’architettura AMD-V che supporta diverse VM controllate dal medesimo hypervisor”. Il cosiddetto VM ASID abbina al codice ed ai dati in transito un tag univoco che ne identifica la provenienza (VM che li ha generati) e la funzione. Il tag resta sempre attivo fin quando i dati si trovano all’interno del SOC, garantendone la fruibilità solo al legittimo proprietario. La presenza di Secure Hash Algorithm (SHA) hardware based completa la panoramica offrendo significativi incrementi di performance rispetto ad Intel (sprovvisto di tale caratteristica) ed alle precedenti soluzioni Advanced Micro Devices – le operazioni di crittaggio e decrittagio comportano l’impiego di capacità computazionale aggiuntiva.

In conclusione, AMD sembra essere per il momento l’unica ad offrire una protezione a 360° per le istanze nel cloud, quale sarà la risposta di Intel a Zen?
Fonte

 

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *