رمزگذاری کامل حافظه در پردازندههای جدید اینتل
علمي
بزرگنمايي:
نسیم گیلان - رمزگذاری کامل حافظه در پردازندههای جدید اینتل 5
سایز متن الف الف
لینک کوتاه در کلیبرد کپی شد! http://akhr.ir/6109392
٣
٠
شهر سخت افزار / روز سهشنبه، شرکت اینتل در طی رویدادی به بیان جزئیات امنیت محصولاتش و قابلیتهای امنیتی و چگونگی کارکرد آنها در آینده پرداخت. البته کل این مراسم را میتوان اعلام برنامه اینتل برای جبران عقب ماندگیاش نسبت به AMD دانست.
ابتدا ارائهدهندگان این رویداد برنامههای اینتل را دربارهی افزونههای گارد نرمافزاری این شرکت یا به اختصار SGX بیان کردند و پس از آن دربارهی رمرگذاری کامل حافظه صحبت کردند که بسیار جالبتر به نظر میرسد.
افزونههای گارد نرمافزای
این تکنولوژی که در سال 2014 معرفی شد و با ریزمعماری Skylake در سال 2015 عرضه شد، در واقع در سطح سختافزار قسمت هایی از حافظه سیستم را در جهت امنیت هر چه بیشتر، از کاربران و حتی مدیران سیستم محافظت میکند. SGX مجموعهای از دستورالعملها برای پردازندههای دارای معماری X86_64 میباشد که به برخی برنامهها اجازه میدهد تا قسمتهایی از حافظه را به قلمرو تبدیل کنند. دادههای موجود در این قلمروها به شکل سختافزاری رمزگذاری شده و تنها خود CPU میتواند آنها را رمزگشایی کند. در نتیجه کاربران دیگر و یا حتی مدیر سیستم نمیتوانند دادههای موجود در این قلمروها را خوانده و یا تغییر دهند.
این ویژگی مشکلات متعددی دارد؛ مشکل اول که واضح هم هست، آن است که هر توسعه دهنده باید نرمافزارش را با این قابلیت سازگار کند و فقط هم روی پردازندههای اینتل قابل اجرا است چرا که اینتل آن را به شکلی انحصارطلبانه توسعه داده است. همچنین با توجه به محدودیت حداکثر 128 مگابایتی قلمرو، شرکتهای نرمافزاری باید تصمیمات سختی برای انتخاب بین دادههای محرمانه و غیر محرمانه اتخاذ کنند. چنین کاری بسیار پیچیده و زمانبر است و تنها با کلیک بر روی یک گزینه و انتخاب سازگاری با SGX نمیتوان از آن پشتیبانی کرد.
در سال 2017 هم آقای Danny Harnik از شرکت IBM طی آزمایشی دریافت که با فعال نمودن SGX، بین 20 تا 50 درصد از توان عملیاتی نرمافزار کاسته میشود. البته که تست او 100 درصد دقیق نمیباشد اما میتواند یک ذهنیت کلی از این قابلیت برای کاربران شکل دهد.
رمزگذاری کامل حافظه
پس از تشریح ویژگیهای SGX، به توضیح برنامههای امنیتی برای آینده پرداخته شد و اینتل فناوری رمزگذاری کامل حافظهاش را با نام رمزگذاری کلی حافظه (TME) و به طور دقیقتر رمزگذاری کلی حافظهی چند کلیده یا MKTME معرفی کرد. هر چند حالا برای اظهار نظر درباره آن زود است.
با توجه به اینکه در حال حاضر هیچ پردازندهای با این ویژگی وجود ندارد، میتوان این مفهوم را با فناوریهای قابل دسترس مثل قابلیت رمزگذاری امن حافظه شرکت AMD یا به اختصار SME و همچنین ویژگی مجازیسازی با رمزگذاری امن یا مختصراً SEV مقایسه کرد.
در سال 2016، AMD ویژگی رمزگذاری ایمن حافظه (SME) را عرضه کرد که بر خلاف قابلیت SGX اینتل، محدودیتی برای اختصاص فضا برای دادههای محرمانه نداشته و انحصار طلبی در آن دیده نمیشد. در این روش کلیدها با استاندار 128 بیت AES توسط یک تولیدکننده تصادفی عدد (RNG) سختافزاری در هر بار بوت شدن سیستمعامل تولید شده و همانند SGX هیچ کاربر و یا مدیر سیستمی اجازه دسترسی به آنها را ندارد.
البته روش SME شرکت AMD مانند SGX اینتل به انجام تغییراتی در روند توسعه نرمافزار نیاز دارد. اما میتوان با انتخاب گزینهای در بایوس (Legacy یا UEFI)، حالت TSME یا به عبارتی رمزگذاری امن حافظه به شکل نامرئی را فعال کرد که بر خلاف روش معمول، نیازی به تغییر در توسعهی نرمافزار نداشته و بدون هیچ پیشنیازی قابل استفاده است.
با توجه به بررسیها، روش به کار گرفته شده توسط AMD نسبت به اینتل تاثیر کمتری بر عملکرد نرمافزارها دارد. حال باید دید که در آینده قابلیتهای TMEیا MKTME چه نتیجهای از خود به جای میگذارند.
نتیجهگیری
در حال حاضر برگزاری چنین رویدادهایی برای اینتل سخت است چرا که مشکلهای امنیتی متعددی در طی چند سال گذشته در محصولاتش گزارش شده و البته جا ماندن این شرکت از AMD در بازدهی و نوآوری منجر به کاهش سهم آن از بازار کامپیوترهای رومیزی شده است. اینتل در این رویداد نیز با معرفی قابلیتهای امنیتی جدید، تنها سعی داشت خود را به سطح قابلیتهای امنیتی موجود در سری پردازندههای سرور Epyc ساخت AMD و حتی بعضی از محصولات رده دسکتاپش برساند.
-
شنبه ۱۰ اسفند ۱۳۹۸ - ۱۱:۳۸:۴۹
-
۳۲ بازديد
-
-
نسیم گیلان
لینک کوتاه:
https://www.nasimegilan.ir/Fa/News/159801/