Ergebnis 1 bis 8 von 8
  1. #1
    Don
    Don ist offline
    [printed]-Redakteur
    Tweety
    Avatar von Don
    Registriert seit
    15.11.2002
    Ort
    www.twitter.com/aschilling
    Beiträge
    31.584


    • Systeminfo
      • CPU:
      • 2x Xeon E5520 (2,26 GHz)
      • Systemname:
      • Mac Pro
      • RAM:
      • 16 GB DDR3 1066 MHz
      • Grafik:
      • ATI Radeon HD 4870
      • Storage:
      • 1x 160 GB SSD + 3x 1 TB HDD
      • Monitor:
      • Apple 24" Cinema-Display
      • Netzwerk:
      • Gigabit
      • Betriebssystem:
      • Mac OS X - Lion
      • Notebook:
      • Apple MacBook Air
      • Photoequipment:
      • Canon EOS 1D Mark II
      • Handy:
      • Apple iPhone

    Standard AMD Opteron: Zen-Architektur verschlüsselt Daten im RAM für einzelne VMs

    Auf modernen Server-Prozessoren wird meist nicht mehr nur ein Betriebssystem bzw. eine Instanz ausgeführt, sondern mithilfe von virtuellen Maschinen laufen darauf gleich mehrere. Diese teilen sich nicht nur die Ressourcen des Prozessors, sondern auch die darauf befindlichen Daten. Um diese besser schützen können, bietet AMD bei der Zen-Architektur eine teilweise und gänzliche Verschlüsselung des Arbeitsspeichers.


    Auf dem KVM Forum 2016 sprach Linux-Entwickler Thomas Lendacky von AMD über die Secure Memory Encryption (SME) und Secure Encrypted Virtualization (SEV). Ziel beider Technologien ist die Verschlüsselung der Daten im Arbeitsspeicher. Dazu verwendet...

    ... weiterlesen


  2. Der folgende User sagte Danke an Don für diesen nützlichen Post:

    Phantomias88 (08.09.16)

  3. Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

  4. #2
    lll
    lll ist offline
    Flottillenadmiral Avatar von lll
    Registriert seit
    01.01.2015
    Ort
    €Uropäische Union - Bairischer Sprachraum
    Beiträge
    4.397


    • Systeminfo
      • Systemname:
      • Meine PC-Hardware findet ihr in der SIGNATUR.
      • Photoequipment:
      • Wozu? Mein Handy hat eine Kamera!
      • Handy:
      • Samsung Galaxy S8+

    Standard

    Angriff vor Physischen Attacken, also direkt am Server bzw System?
    Also hilfreich gegen Polizei und Spionage?

  5. #3
    Admiral
    Registriert seit
    05.07.2010
    Beiträge
    18.252


    Standard

    Ist das schon im Hinblick auf die neuen, nicht flüchtigen Storage Class Speichermedien die 3D XPoint, die dann auch als RAM dienen werden, zu sehen? Eigentlich sollte ja das Betriebssystem die Trennung der VMs sicherstellen, nur wenn der Inhalt des RAMs eben beim Start nicht leer ist, könnte das natürlich zu Sicherheitsproblemen führen.
    Je mehr ich in Foren lese, umso mehr stelle ich fest: Geist addiert sich nicht, Dummheit schon!

    "Früher benutzte man im Diskurs sogenannte Argumente, heute wird man im Internet mit Scheiße beworfen, beschimpft, bedroht" Dieter Nuhr (Nuhr im Ersten vom 2. Mai 2019 ab 6:00)

  6. #4
    Oberbootsmann Avatar von Armadillo
    Registriert seit
    20.03.2006
    Ort
    München
    Beiträge
    802


    • Systeminfo
      • Motherboard:
      • ASUS ROG Crosshair VI Hero
      • CPU:
      • Ryzen 7 1800X
      • Systemname:
      • Bruce
      • Kühlung:
      • Mo-Ra 420
      • Gehäuse:
      • Corsair Graphite 600T white
      • RAM:
      • G.Skill TridentZ RGB 3600CL16
      • Grafik:
      • XFX Radeon VII
      • Storage:
      • Samsung 960 Evo 1TB, 12TB Homeserver
      • Monitor:
      • 3x EIZO Flexscan FS2336WFS3
      • Netzwerk:
      • GBit
      • Sound:
      • Teufel Concept C, Sennheiser G4me Zero
      • Netzteil:
      • Seasonic X-760
      • Betriebssystem:
      • Windows 10
      • Sonstiges:
      • Roccat Suora FX, Roccat Kone Aimo, Razer Orbweaver Stealth
      • Notebook:
      • Razer Blade Stealth Mid 2017
      • Photoequipment:
      • Nikon D750, Nikon D610
      • Handy:
      • Sony Xperia X

    Standard

    Zitat Zitat von lll Beitrag anzeigen
    Angriff vor Physischen Attacken, also direkt am Server bzw System?
    Also hilfreich gegen Polizei und Spionage?
    Gegen jeden der an die Daten in deinem Arbeitsspeicher will, weil die Platten z.B. stark verschlüsselt sind.
    Zitat Zitat von Holt Beitrag anzeigen
    Ist das schon im Hinblick auf die neuen, nicht flüchtigen Storage Class Speichermedien die 3D XPoint, die dann auch als RAM dienen werden, zu sehen? Eigentlich sollte ja das Betriebssystem die Trennung der VMs sicherstellen, nur wenn der Inhalt des RAMs eben beim Start nicht leer ist, könnte das natürlich zu Sicherheitsproblemen führen.
    Zum Einen ja. Zum Anderen ist es möglich die Daten auf RAM-Modulen, mit extremer Kühlung einige Sekunden lang, auch nach dem Entfernen vom Mainboard auszulesen. Bei sehr wichtigen Daten ist das durchaus interessant.

    Desweiteren könnte es gegen DMA-Angriffe die man z.B. über Firewire machen kann helfen, dass man das Passwort des aktuell eingeloggten Benutzers nicht mehr so einfach aus dem Arbeitsspeicher klauen kann.

    Und generell kann man damit vielleicht Attacken auf nicht zulässige Speicherbereichen vorbeugen, selbst wenn das Zugriffsmanagement versagt und/oder ausgehebelt wird.

    Es hat also durchaus einige interessante Anwendungszwecke.

    Leider wird auch hier im Artikel nicht näher darauf eingegangen welche Vorteile AMDs Lösung gegenüber SGX hat.
    Geändert von Armadillo (08.09.16 um 09:40 Uhr)

  7. #5
    Oberstabsgefreiter Avatar von Blutschlumpf
    Registriert seit
    25.03.2006
    Ort
    Da Hood
    Beiträge
    392


    • Systeminfo
      • Motherboard:
      • Arschfels Z68 Pro3
      • CPU:
      • Intel i7-2700K
      • Kühlung:
      • Scythe Mugen 3 + Slipstream 5
      • Gehäuse:
      • NZXT Phantom
      • RAM:
      • 24GB DDR3-1600
      • Grafik:
      • XFX RX460 4GB (passiv)
      • Storage:
      • 128GB MX100 / 256GB OCZ Petrol
      • Monitor:
      • DELL 2407 WFP-HC (24Zoll SPVA)
      • Netzwerk:
      • onboard Realtek
      • Sound:
      • onboard Realtek
      • Netzteil:
      • BeQuiet Straight Power 10 400W
      • Betriebssystem:
      • Win 7 Ultimate 64bit
      • Notebook:
      • -

    Standard

    Interesant wäre dazu die Info was das an Performance kostet.
    Bisherige CPUs können ja trotz Hardware-AES-Beschleunigung nicht mal ansatzweise so schnell AES de/entschlüsseln wie Daten aus dem Ram laden bzw. da speichern.
    Ram: http://www.legitreviews.com/intel-core-i7-6700k-skylake-processor-review_169935/5
    AES: http://www.legitreviews.com/intel-core-i7-6700k-skylake-processor-review_169935/12

    Und der Benchmark dürfte sequentiell messen und somit noch nichtmal das Problem beinhalten, dass da bei kleineren Schreibzugriffen ein riseiger Overhead (1 Byte schreiben = einen "Block" lesen, entschlüsseln, das Byte schreiben, wieder verschlüsseln und alls schreiben) entstehen wird.

  8. #6
    Bootsmann
    Registriert seit
    24.01.2011
    Beiträge
    739


    • Systeminfo
      • Netzwerk:
      • Fritz!Box 7050 :D
      • Betriebssystem:
      • XP
      • Photoequipment:
      • Galaxy K Zoom

    Standard

    Zitat Zitat von lll Beitrag anzeigen
    Also hilfreich gegen Polizei und Spionage?
    Gegen die Wald&Wiesen Polizei und Industriespione vielleicht,
    NSA und Geheimdienste haben aber garantiert einen 'Generalschlüssel'
    ⠀⠀⠀⠀⠀⠀⠀⠀⠀

  9. #7
    Vizeadmiral Avatar von Phantomias88
    Registriert seit
    19.04.2008
    Ort
    PorscheTown
    Beiträge
    7.343


    • Systeminfo
      • Motherboard:
      • ASUS Sabertooth Gen3/R2.0
      • CPU:
      • AMD FX-8350 (Vishera)
      • Systemname:
      • DragonBooster III
      • Kühlung:
      • EK WB Supreme LTX
      • Gehäuse:
      • SuperFlower SF-2000 Big Tower
      • RAM:
      • 4x 8GB DDR3-1866 DualRank ECC
      • Grafik:
      • 2x XFX R7970 DD 925M 3GiB CfX
      • Storage:
      • 3x SSD SATA III native + 3 HDDs
      • Monitor:
      • Samsung FHD TV 37" 550cdm
      • Netzwerk:
      • FritzBox!
      • Sound:
      • onboard
      • Netzteil:
      • Corsair HX850 80+ silver@100%
      • Betriebssystem:
      • Windows 10 x64 Pro 17134.590
      • Notebook:
      • ?
      • Handy:
      • HUAWAI P9 Light

    Standard

    Zitat Zitat von lll Beitrag anzeigen
    Angriff vor Physischen Attacken, also direkt am Server bzw System?
    Also hilfreich gegen Polizei und Spionage?
    So lang du nicht auf dem Host System deine "Tätigkeiten" ausübst sondern auf den VM Clients sieht keiner was von außen.
    Die Daten werden verschlüsselt gelesen und geschrieben, wenn es dann noch auf einem RAM-Laufwerk statt findet, kannst du alle Spuren mit dem ziehen des Netzstecker "verschwinden" lassen.
    Was du aber auf die externen Server schreibst, lässt sich zumindest für einen bestimmten Zeitraum nachweißen.

    CPU
    : AMD FX-8350 1.3625Vid @ my style | MB: ASUS Sabertooth 990FX R2.0/Gen2 -> zwo x16 Lanes PCIE2.0 onboard
    RAM: 4x 8GiB DDR3-1866 CL13 2T ECC Crucial | GraKa: CrossfireX with XFX Radeon R9 280X DD & R7970 DD 1000M 3GiB
    NT: Corsair HX850 80+ Silver@100% load | WaKü: EK WB Supreme LTX / 6l | Displays: Samsung 37" LCD Full HD @ 550cd/m²[/SIZE]


  10. #8
    Admiral
    Registriert seit
    05.07.2010
    Beiträge
    18.252


    Standard

    Zitat Zitat von Armadillo Beitrag anzeigen
    Zum Anderen ist es möglich die Daten auf RAM-Modulen, mit extremer Kühlung einige Sekunden lang, auch nach dem Entfernen vom Mainboard auszulesen. Bei sehr wichtigen Daten ist das durchaus interessant.
    Und in welchen Situationen soll das relevant sein? Dazu müsste ein Angreifer die RAM in seiner Hand haben um die so extrem kühlen zu können und dann innerhalb der extrem kurzen Zeit in ein Auslesegerät zu packen. Wer das kann, der hat sicher einfachere Möglichkeiten an die Daten zu kommen die er haben möchte.

    Zitat Zitat von Armadillo Beitrag anzeigen
    Und generell kann man damit vielleicht Attacken auf nicht zulässige Speicherbereichen vorbeugen, selbst wenn das Zugriffsmanagement versagt und/oder ausgehebelt wird.
    Wobei die Frage ist, was sich dann einfacher aushebeln lässt, denn für die jeweiligen Programme muss ja der Speicherkontroller ihre Daten im RAM entschlüsseln wenn sie darauf zugreifen, dort wird dann auch ein Angreifer ansetzen und sein Spionageprogramm so gestalten, dass es sich für den Besitzer der Daten ausgibt. Wer sowieso das Zugriffsmanagement ausgehebelt, für den dürfte das nicht unmöglich sein.
    Je mehr ich in Foren lese, umso mehr stelle ich fest: Geist addiert sich nicht, Dummheit schon!

    "Früher benutzte man im Diskurs sogenannte Argumente, heute wird man im Internet mit Scheiße beworfen, beschimpft, bedroht" Dieter Nuhr (Nuhr im Ersten vom 2. Mai 2019 ab 6:00)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •