Intel kündigte neue Sicherheitsfunktionen für den Xeon-SP der dritten Generation mit dem Codenamen Ice Lake-SP an. Zu diesen Funktionen gehören verbesserte Versionen von Software Protection Extensions (SGX), neue Funktionen (z. B. Total Memory Encryption (TME) und Intel Platform Firmware Resilience (PFR)). Intel erwartet neue Methoden, um den Verschlüsselungsprozess zu beschleunigen und die Sicherheit von Ice Lake-SP zu verbessern.
Intel sucht nach den neuesten Sicherheitsupdates aufgrund mehrerer erfolgreicher Angriffe in den letzten Jahren: Spectre und Meltdown. Laut Anil Rao, dem Sicherheitsmanager von Intel, werden die Daten, die derzeit vom Prozessor verarbeitet werden, weiterhin ein beliebtes Ziel sein.
SGX wird weiterhin getroffen
Die Grundidee von SGX besteht darin, einen sicheren Bereich im Hauptspeicher einzurichten, der vom Betriebssystem isoliert ist. Selbst wenn das System bedroht ist, ist der darin ausgeführte Code weiterhin geschützt. Die frühere Version von Intel SGX, die seit Skylake verwendet wird (Core i-6000, Xeon-SP), wurde 2018 Opfer von zwei Spectre-Angriffen. Im folgenden Jahr wurde SGX aufgrund eines schwerwiegenden Fehlers in der Enklave geknackt. Beispielsweise kann versteckter Schadcode in geschützte Bereiche eindringen. Als die Leute in diesem Frühjahr auf LVI-Angriffe (Load Value Injection) aufmerksam wurden, hat Intel bereits Verbesserungen vorgenommen.
Der angekündigte Xeon SP-Prozessor verfügt jetzt über eine neue Intel SGX-Version, die laut Intel die bislang am häufigsten getestete Version ist. Es sollte in der Lage sein, bis zu 1 Terabyte Code und Daten über die gesamte Reichweite des neuen Ice Lake SP-Prozessors zu schützen.
Übersicht über neue Funktionen
Mit der neuen TME-Funktion (Total Memory Encryption) verwendet Intel eine 256-Bit-AES-XTS-Blockverschlüsselung, um alle von der CPU verwendeten Adressräume zu verschlüsseln. Die Arbeit von TME ist unabhängig von SGX und davon nicht betroffen. Intel möchte insbesondere physische Angriffe wie „Einfrieren des Speichers“ oder „Löschen des Speichers“ verhindern.
Die zweite vorgestellte Funktion besteht darin, Denial-of-Service-Angriffe durch die neue Firmware-Wiederherstellungsplattform von Intel zu verhindern. PFR stellt eine wichtige Erweiterung der vorherigen Intel Management Engine (IME) im Chipsatz dar und ist aufgrund seiner Zugriffsrechte auf höchster Ebene (unabhängig vom Betriebssystem) häufig das Ziel von Angriffen.
Zu diesem Zweck verwendet Intel einen unabhängigen programmierbaren Logikchip (Field Programmable Gate Array, FPGA), der den Sicherheitsschlüssel für die Verschlüsselung verwaltet und die Vertrauensbasis sicherstellen soll. Im Vergleich zum vorherigen Firmware-TPM (fTPM 2.0) ist das FPGA flexibler. Bei einem erfolgreichen Firmware-Angriff kann das FPGA automatisch auf eine sichere Firmware-Version zurückgesetzt werden.
Ein weiteres Update verbessert die Leistung des Verschlüsselungsprozesses, sodass Serverbetreiber weniger Gleichgewicht zwischen CPU-Leistung und Sicherheit herstellen müssen. Intel® Switches können unter anderem unabhängige Speicherpuffer parallel ausführen.
Wenn Sie Weiteres über das Thema Sicherheitsverbesserung wissen wollen, kommen Sie gerne auf uns zu.
Kommentarbereich geschlossen.