Intel heeft uiteengezet welke nieuwe beveiligingsfuncties er in de Ice Lake-processors in de Xeon Platinum-lijn zitten. Het gaat om uitbreidingen van de beveiligingsmogelijkheden die het onder zijn sgx-functionaliteit schaart.
De sgx-technieken en de enclave die hier onderdeel van is zijn de afgelopen paar jaar vele malen het slachtoffer geweest van verschillende gaten in de beveiliging. Voorbeelden van problemen zijn Prime+Probe, LVI, SGAxe en Plundervolt, om er maar een paar te noemen. De enclave is in een aantal gevallen zelfs gebruikt om de kwaadaardige software te verbergen. Nu heeft Intel deze functiesuite geüpdatet voor deze Ice Lake-serverchips, alsook een reeks aangelegen eigenschappen.
Het blijkt dat de trusted execution environment (tee) is geüpdatet, de chipfabrikant verklaart namelijk dat de software guard extensions-tool 'de meest onderzochte, geüpdatete en aan de realiteit onderworpen tee voor datacentra' is. Alle Xeon Scalable-chips op basis van Ice Lake moeten grotere datasets van maximaal 1 TB in het systeemgeheugen kunnen beschermen, via de nieuwe versie van software guard extensions. De data moet op een beschermde manier naar andere hardwarematige acceleratoren verstuurd kunnen worden.
Ook wordt een nieuwe functie genaamd total memory encryption geïntegreerd, waarmee al het systeemgeheugen kan worden versleuteld. Dit is een functie die los staat van sgx en moet vergelijkbaar zijn met AMD's Secure Memory Encryption-functionaliteit. Intel heeft de aanwezigheid hiervan al aangekondigd bij de introductie van Ice Lake-SP.
De derde functie wordt platform firmware resilience (pfr) genoemd. Dit maakt gebruik van een fpga-chip op het platform die een extra hardwarematige beveiligingslaag vormt voor de bios-flashchip, de baseboard management controller, de spi descriptor, de Intel management engine en voor de firmware van de stroomvoorziening. Het is niet duidelijk of de chip op compatibele moederborden zit of in de processor zelf.
De vierde en laatste verbetering is een tweetal nieuwe cryptografische versnellers. De eerste is het samenvoegen van twee bestaande algoritmen die normaal gesproken sequentieel worden uitgevoerd. Nu moet het uitvoeren naast elkaar gebeuren. De tweede vernieuwing is een methode om meerdere databuffers parallel te verwerken, vermoedelijk in combinatie met de eerste verbetering.
Bron: Intel
