Intel promette la crittografia della memoria completa nelle prossime CPU

Seguici

All’evento Intel Security Day di martedì, la società ha presentato la sua visione presente e futura per le funzionalità incentrate sulla sicurezza nel suo hardware.

Anil Rao e Scott Woodgate di Intel hanno aperto la loro presentazione con una discussione sul presente e sul futuro di Intel SGX (Software Guard Extensions), ma la loro copertura dei piani dell’azienda di portare la crittografia della memoria completa nelle future CPU Intel è stata più interessante.

Estensioni della protezione del software


Intel SGX, annunciata nel 2014 e lanciata con la microarchitettura Skylake nel 2015, è una delle prime tecnologie di crittografia hardware progettate per proteggere le aree di memoria da utenti non autorizzati, fino agli amministratori di sistema inclusi. SGX è un insieme di istruzioni CPU x86_64 che consente a un processo di creare un “enclave” all’interno della memoria che è crittografato con hardware. I dati memorizzati nell’enclave crittografata vengono decodificati solo all’interno della CPU e anche in questo caso vengono decodificati solo su richiesta di istruzioni eseguite dall’enclave stessa.

Di conseguenza, anche qualcuno con accesso root (amministratore di sistema) al sistema in esecuzione non può leggere o alterare utilmente enclaves protetti da SGX. Ciò ha lo scopo di consentire un’elaborazione dei dati riservata e di alto livello in modo sicuro su sistemi condivisi, come gli host di macchine virtuali cloud. Consentire a questo tipo di carico di lavoro di spostarsi dai data center di proprietà e gestiti localmente verso cloud pubblici su larga scala consente operazioni meno costose, nonché tempi di attività, scalabilità e consumi energetici potenzialmente migliori.

La SGX di Intel ha diversi problemi. Il primo e più ovvio è che è proprietario e specifico del fornitore: se si progetta un’applicazione per utilizzare SGX per proteggere la sua memoria, tale applicazione verrà eseguita solo su processori Intel. Il secondo è che devi progettare la tua applicazione attorno a SGX: non puoi semplicemente girare un interruttore e accenderlo.

Anche le enclavi SGX hanno dimensioni limitate. Tutte le enclavi su un sistema devono inserirsi nella cache della pagina Enclave, che al momento è limitata a 128 MiB in totale, non a 128 MiB per processo. Ovviamente, non è possibile inserire interi sistemi operativi – o persino la maggior parte dei contenitori – in soli 128 MiB, il che significa che gli sviluppatori di applicazioni devono prendere decisioni attente ed estremamente difficili su quali parti della memoria siano “riservate” e quali no.

Admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Solve : *
14 + 13 =