Intel Xeon Ice Lake-SP obtém criptografia de memória total, novos recursos SGX e proteção de hardware para a plataforma

Os primeiros lotes do Intel Xeon Scalable de terceira geração, conhecido como Ice Lake-SP, devem chegar ainda este ano, com um lançamento massivo no próximo ano. No entanto, a Intel está gradualmente compartilhando informações sobre as inovações futuras. Hoje a empresa falou sobre novos recursos que visam melhorar a proteção e segurança.

O primeiro anúncio diz respeito à expansão do Intel Software Guard Extensions (SGX) e criptografia de memória AES. A tecnologia SGX em si não é nova e está há muito tempo presente em processadores clientes, bem como no Xeon E. Intel SGX permite criar enclaves criptografados dedicados em RAM, onde apenas aplicativos (Anel 3) têm acesso, e o SO, hipervisor e outros componentes não têm esse acesso. Um conjunto separado de 18 comandos é usado para se comunicar com a memória.

O Lago de Gelo-SP recebeu duas melhorias significativas. Primeiro, as operações reais de (des) criptografia agora têm implementação de hardware, o que acelera significativamente o processo. Em segundo lugar, o volume total de enclaves também cresceu significativamente – até 512 GB por soquete ou até 1 TB para uma máquina típica de dois soquetes. Em CPUs mais antigas, o tamanho era de 64-256 MB, de modo que apenas os dados mais valiosos tinham que ser adicionados a esses enclaves. A segunda inovação importante é o suporte para criptografia totalmente transparente de toda a RAM Total Memory Encryption (TME), também com aceleração de hardware.

Infelizmente, a Intel ainda não compartilhou detalhes sobre a implementação dos novos recursos. Em particular, não há informações sobre qual é o número máximo de enclaves e, consequentemente, chaves de criptografia individuais podem estar no sistema, bem como como os novos recursos são combinados com Optane PMem, que tem seu próprio mecanismo de criptografia forçada em cada módulo. Provavelmente, em sua forma atual em um sistema real, uma das tecnologias terá que ser abandonada.

O surgimento de novas tecnologias de criptografia de memória é importante para o conceito de computação confidencial (Confidential Computing), que é extremamente relevante para os ambientes de nuvem de rápido crescimento no contexto de uma pandemia – a criptografia e o isolamento de dados em ambientes multiusuário são essenciais. Todos os principais provedores de nuvem já oferecem ou estão explorando essas oportunidades de uma forma ou de outra. E o suporte para o “antigo” SGX está presente no Microsoft Azure desde 2015. É verdade que a Intel ainda está se recuperando – AMD EPYC 7002 com criptografia de memória acelerada por hardware SME e SEV apareceu há mais de um ano e está gradualmente penetrando nas nuvens.

Em parte sobre as inovações sobre as quais a Intel já falou no Hot Chips 32. E hoje, mais uma vez, lembrei que Ice Lake-SP terá uma série de novas instruções para acelerar a criptografia, geração de chaves, assinaturas, hashing e assim por diante. Todos eles são necessários para operações típicas usadas no software mais comum. Como antes, a Intel está trabalhando ativamente com os desenvolvedores para garantir que o suporte para os novos recursos esteja pronto quando Ice Lake-SP chegar ao mercado. Ela até organizou o Consórcio de Computação Confidencial.

Por fim, a última novidade é a Intel Platform Firmware Resilience (Intel PFR), um sistema de proteção contra ataques de baixo nível na plataforma como um todo (de acordo com o padrão NIST-800-193). Inclui um FPGA separado que controla a operação de outros componentes: chips de memória BIOS e BMC, barramentos de sistema, Intel ME e outro firmware, incluindo firmware para fontes de alimentação. O PFR permite que você identifique e evite adulteração de componentes de baixo nível, e o uso de FPGAs permitirá que os fabricantes finais personalizem os sistemas para as necessidades de clientes específicos e indústrias em geral.