1. Hardwareluxx
  2. >
  3. News
  4. >
  5. Hardware
  6. >
  7. Prozessoren
  8. >
  9. TEE, TME und SGX: Intel spricht über die Sicherheit der Icelake-Xeons

TEE, TME und SGX: Intel spricht über die Sicherheit der Icelake-Xeons

Veröffentlicht am: von

intel-2020Auch wenn Intel noch nicht explizit über die dritte Generation der Xeon-Scalable-Prozessoren sprechen will, so hat man nun zumindest ein Fokusthema adressiert: Die Sicherheit. Mit den Xeon-Prozessoren auf Basis von Icelake werden einige Neuerungen bzw. Verbesserungen Einzug halten. Darunter für Intels SGX, eine Speicherverschlüsselung, Abhärtung der Firmware und eine neue hardwarebeschleunigte Kryptographie. 

Basis all dessen soll eine verbesserte Sicherheit im Bereich der Hardware, des BIOS und der Firmware sowie des Betriebssystems bzw. des Hypervisors sein. Ist eine dieser Komponenten kompromittiert, nützt auch die Absicherung des darüberliegenden Software-Stacks wenig. Das Thema Sicherheit rückt für Intel in den Fokus, da man in der Vergangenheit viel an Vertrauen verloren hat. Dieses gilt es nun zurückzugewinnen.

Als einer der wichtigen Schritte für die nächste Xeon-Generation wird Intels SGX (Software Guard Extensions) um die Trusted Execution Enviroment (TEE) ergänzt und erstmals überhaupt kommt SGX in den Xeon-Prozessoren zum Einsatz. Diese Funktion war bereits mit Xeon-E-Prozessoren verfügbar, findet nun aber auch den Weg zu den Scalable-Prozessoren. Software, die TEE verwendet, kann das Betriebssystem und den Hypervisor umgehen, um beispielsweise auf den abgesicherten Speicher zuzugreifen. Code und Daten wird also den gefährdeten Schichten im Software-Stack gar nicht mehr offenbart, was Angriffsvektoren verhindern soll. Alle zukünftigen Icelake-Xeons werden TEE unterstützen. Pro Enclave können 1 TB an Daten und Code abgesichert werden.

Um die notwendigen Anpassungen für TEE so gering wie möglich zu halten, können Frameworks verwendet werden, die bereits in abgesicherten Containern arbeiten. Neue Applikationen aber können im Hinblick auf TEE auf entsprechende SDKs zurückgreifen.

Intels zukünftige Xeon-Prozessoren sollen in Kürze auch TME (Total Memory Encryption) oder MKTME (Multi-Key Total Memory Encryption) unterstützen. Zwar bietet man diese bereits über eine Linux-Kernelerweiterung, es fehlt allerdings an der entsprechenden Hardware. Dies wird sich mit Icelake nun ändern. Die mittels TME abgesicherten Daten im Speicher können nur durch einen bestimmten Schlüssel abgerufen werden, der einmalig mit Systemstart erstellt wird. Der Overhead durch die Verschlüsselung soll gerade einmal 3 % betragen, hängt aber sicherlich von der jeweiligen Anwendung ab.

AMDs SME (Secure Memory Encryption) und SEV (Secure Encrypted Virtualization) ist bereits auf dem Stand, den Intel mit TME nun erreichen will. Im Falle von SME kann ein beliebiger Teil des Arbeitsspeichers verschlüsselt werden. Die TSME (Transparent Secure Memory Encryption) ermöglicht ein Verschlüsseln des kompletten Arbeitsspeichers mit Systemboot. Dies setzt dann auch keine Vorbereitung der Software auf eine Verschlüsselung in die Form voraus, wie dies bei SME der Fall ist.

Ein weiterer Baustein stellt die Platform Firmware Resilience (PFR) dar. Dazu wird ein Intel FPGA verwendet, der eine root of trust implementiert und kritische Komponenten wie die Firmware validiert – im Falle einer Modifikation soll diese erkennt und korrigiert werden. Überwacht werden können das BIOS, die Plattform-Firmware, der Prozessor und eventuell vorhandene Wiederherstellungs-Images.

Intels PFR bzw. der FPGA überwacht zudem die wichtigen System-Bus-Systeme und erkennt bzw. filtern Traffic, der auf Schadcode hinweisen könnte. Als eine Art Firewall wird dieser Traffic dann im Zweifel blockiert, um die dazugehörige Attacke zu blockieren.

Dritter Baustein in der Sicherheit der dritten Generation der Xeon-Scalable-Prozessoren auf Basis von Icelake ist eine neue Hardwarebeschleunigung für Kryptografie-Algorithmen. Diese sollen für beliebte Verfahren um den Faktor zwei bis vier schneller sein. Die Hardware bzw. die neuen Prozessoren sollen also unter Verwendung der Verschlüsselungsverfahren schneller arbeiten können und Kompromisse zwischen Geschwindigkeit und Sicherheit überflüssig machen.

Datenschutzhinweis für Youtube



An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.

Ihr Hardwareluxx-Team

Youtube Videos ab jetzt direkt anzeigen

Icelake wird sich verschieben

Auch wenn Intel noch nicht offiziell darüber spricht: Der Start der dritten Generation der Xeon-Scalable-Prozessoren wird sich vom von Ende 2020 auf Anfang 2021 verschieben. Die Spatzen pfeifen es bereits seit Wochen von den (OEM)-Dächern. Ursprünglich wollte Intel die Xeon-Prozessoren mit Sunny-Cove-Kernen und in 10 nm gefertigt bereits 2019 auf den Markt bringen. Mit Cascade Lake und Cooper Lake hat Intel zwei Zwischengenerationen in 14 nm eingeschoben und kann nun offenbar auch den Termin Ende 2020 nicht mehr einhalten.

Die Xeon-Prozessoren auf Basis von Icelake verwenden die Whitley-Plattform und einen Sockel mit 4.189 Kontaktflächen. Die Anzahl der Kerne dürfte von 28 auf 38 angehoben werden und außerdem unterstützt Intel damit bei den Servern auch erstmals PCI-Express 4.0. Ein Octa-Channel-Speicherinterface soll eine schnellere Anbindung des Speichers bzw. höhere Speicherbandbreite ermöglichen.