1. Hardwareluxx
  2. >
  3. News
  4. >
  5. Software
  6. >
  7. Anwendungen
  8. >
  9. Intels Full Memory Encryption soll endlich mit AMD aufschließen

Intels Full Memory Encryption soll endlich mit AMD aufschließen

Veröffentlicht am: von

intel-xeon-3275Auf einem Security Day hat Intel in der vergangenen Woche über seine Pläne hinsichtlich der Sicherheit mittels Total Memory Encryption (TME) gesprochen. ArsTechnica hat am Security Day teilgenommen und die wichtigsten Informationen zusammengetragen. Aktuell setzt Intel auf die SGX (Software Guard Extensions), die eine Secure Enclave herstellen, in der die Daten sicher abgelegt werden sollen.

Zukünftig will man aber einen höheren Grad an Sicherheit bieten, zumal sich die SGX via Plundervolt und Cache Out schon als lückenbehaftet herausgestellt hat. Die SGX hat aber noch weitere Probleme und diese betreffen vor allem die Implementierung. So handelt es sich bei den SGX um einen proprietären Standard, der ausschließlich von Intel-Prozessoren verwendet werden kann. Weiterhin müssen die Anwendungen, welche die SGX verwenden, explizit darauf ausgelegt sein. Es gibt also keine einfache Möglichkeit eine Software bzw. die darin verwendeten Daten per SGX abzusichern.

Eine weitere Limitierung ist durch die Hardware begründet. Grundsätzlich verfügbar ist die SGX-Funktionalität seit den Xeon-Prozessoren auf Basis der Skylake-Architektur. Derzeit werden die SGX allerdings nur von Single-Socket-Prozessoren unterstützt. Serversysteme mit zwei oder mehr Prozessoren können keine sicheren Enklaven verwalten. Pro Prozessor stehen auch nur 16 MB an Enclave Page Cache zur Verfügung. Diesen Cache müssen sich alle Anwendungen, die auf dem Prozessor mit den SGX laufen, teilen.

Im Februar 2019 stellte Intel daher die SGX Card vor. Dabei handelt es sich um eine Erweiterungskarte für Cloud Service Providers (CSP). Auf einer SGX Card befinden sich drei Xeon-E3-Prozessoren auf Basis von Kaby Lake. Diese dienen sozusagen als Spender der SGX-Funktionalität. Pro SGX Card können 12 Servernodes mittels der Software Guard Extensions abgesichert werden – jede CPU auf der SGX Card kann demnach drei Xeon-Prozessoren absichern und ermöglicht diesen das Erstellen einer abgesicherten Enklave in Multi-Socket-Systemen.

Diesen Umweg will man mit Cooper Lake umgehen. Die Prozessoren sollen auch in Multi-Socket-Systemen die SGX ermöglichen – auch ohne SGX Card.

Danny Harnik führte 2017 einige Tests mit den SGX durch und bemängelte dabei vor allem die geringen Durchsatzraten. Allerdings waren diese Tests eher theoretischer Natur und der Bezug auf Anwendungen wie sie im Serverbereich zum Einsatz kommen, ist nur schwer herzustellen. Ganz offensichtlich ist den SGX aber nicht der Durchbruch gelungen, denn einzig Microsoft verwendet diese in seinen Azure-Cloudinstanzen großflächig.

Auf den Spuren von AMD: Total Memory Encryption

Intels zukünftige Xeon-Prozessoren sollen in Kürze auch TME (Total Memory Encryption) oder MKTME (Multi-Key Total Memory Encryption) unterstützen. Zwar bietet man diese bereits über eine Linux-Kernelerweiterung, es fehlt allerdings an der entsprechenden Hardware.

Anders sieht dies bei AMD aus. Hier wird ein SME (Secure Memory Encryption) und SEV (Secure Encrypted Virtualization) geboten. Im Falle von SME kann ein beliebiger Teil des Arbeitsspeichers verschlüsselt werden. Die TSME (Transparent Secure Memory Encryption) ermöglicht ein Verschlüsseln des kompletten Arbeitsspeichers mit Systemboot. Dies setzt dann auch keine Vorbereitung der Software auf eine Verschlüsselung in die Form voraus, wie dies bei SME der Fall ist.

Wie groß der Anteil der Serversysteme mit SME oder TSME bei AMD ist, können wir nicht abschätzen. Die gleiche Frage stellt sich auch für die SGX bzw. die Nachfrage an TME bei Intel. Das Thema Sicherheit spielt aber eine derart entscheidende Rolle, das daran eigentlich kein Vorbeikommen mehr ist.

Dennoch aber scheint das Thema TME für Intel nun verstärkt in den Fokus zu rücken. Dies liegt aber sicherlich auch daran, dass Intel in den letzten Wochen und Monaten mit zahlreichen Sicherheitslücken zu kämpfen hatte. Die SGX gehören dabei ebenfalls zu den betroffenen Komponenten. So kann ein Undervolting verschlüsselte RAM-Enklaven öffnen (Plundervolt) und CacheOut greift als Sidechannel-Attacke ebenfalls gesicherte Bereiche an.

Ob und wann die Total Memory Encryption beim Einsatz mit Intel-Prozessoren eine größere Rolle spielen wird, muss sich nun aber noch zeigen. Intel zeigt nun erste zarte Versuche in dieser Richtung, die aber noch wenig konkret zu sein scheinen.

Social Links

Das könnte Sie auch interessieren:

  • DRAM Calculator 1.5.0 für Ryzen-Prozessoren veröffentlicht (Update)

    Logo von IMAGES/STORIES/2017/DRAM-CALCULATOR

    Yuri "1usmus" Bubliy hat den DRAM Calculator in der Version 1.5.0 veröffentlicht. Dieser richtet sich an alle Nutzer eines Ryzen-Prozessors von AMD. Die neueste Version gilt aufgrund des guten Vorgängers bereits als neue Referenz für das RAM-OC im Zusammenspiel mit den Ryzen-Prozessoren –... [mehr]

  • Sapphire TriXX​ – viele Funktionen mit guter Übersicht

    Logo von IMAGES/STORIES/2017/SAPPHIRE-TRIXX

    Advertorial / Anzeige: Mittels diverser unterschiedlicher Software können die technischen Daten und Betriebsparameter einer Grafikkarte überwacht werden. Nahezu jeder Hersteller schnürt dazu sein eigenes Softwarepaket. Hinzu kommen die Funktionen, die über die Treiber zur Verfügung gestellt... [mehr]

  • Mehr als 32 Kerne im Nachteil: VMWare verändert Lizenzmodell

    Logo von IMAGES/STORIES/2017/VMWARE

    VMWare hat sein Lizenzmodell umgestellt, bzw. im Detail derart geändert, dass Prozessoren mit mehr als 32 Kernen ab sofort zwei Lizenzen benötigen. Grundsätzlich muss man zunächst einmal auf die unterschiedlichen Lizenzmodelle in diesem Bereich eingehen. Diese sehen entweder eine Lizenz pro... [mehr]

  • NVIDIA FrameView bietet eine volle FPS- und Verbrauchs-Analyse

    Logo von IMAGES/STORIES/2017/NVIDIA-FRAMEVIEW

    Zusammen mit den ersten beiden Super-Modellen stellte NVIDIA mit FrameView ein neues Tool zur Analyse der FPS vor. Basis von FrameView ist PresentMon. NVIDIA hat die Software nun in die Beta entlassen und damit kann sich jeder die Beta 0.9.4124.26691055 herunterladen und eigene Analysen... [mehr]

  • Kritische Sicherheitslücke im VLC media player (Update)

    Logo von IMAGES/STORIES/2017/VLC

    Der VLC media player ist eine weit verbreitete Mediaplayer-Software. Entsprechend viele Nutzer könnten prinzipiell von einer kritischen Sicherheitslücke betroffen sein, vor der jetzt sowohl NVD als auch CERT-Bund warnen. CERT-Bund befasst sich als Computer Emergency Response Team der... [mehr]

  • Intels Full Memory Encryption soll endlich mit AMD aufschließen

    Logo von IMAGES/STORIES/2017/INTEL-XEON-3275

    Auf einem Security Day hat Intel in der vergangenen Woche über seine Pläne hinsichtlich der Sicherheit mittels Total Memory Encryption (TME) gesprochen. ArsTechnica hat am Security Day teilgenommen und die wichtigsten Informationen zusammengetragen. Aktuell setzt Intel auf die SGX... [mehr]