Comparisons Brawte nfaq 0 Comments

インテルは、入手困難であったためこれまでいかなる脅威にも耐えてきたIce Lake Xeonプロセッサのセキュリティを称賛している。

Table of Contents

インテルは、入手困難であったためこれまでいかなる脅威にも耐えてきたIce Lake Xeonプロセッサのセキュリティを称賛している。

インテルは水曜日、年末までに登場する予定の第3世代Xeonスケーラブルプロセッサ(コード名Ice Lake)向けに計画されている一連のセキュリティ機能について語った。

半導体業界は、セキュリティに関する何らかの定量的な測定を計算し、これまでのセキュリティ誓約と比較検討できるかのように、「セキュリティ第一の誓約を倍増させる」と述べた。

提案されている二重のセキュリティ強化は、Software Guard Extensions (SGX)、Total Memory Encryption (TME)、Platform Firmware Resilience (PFR)、暗号化アクセラレーションなどの機能を Ice Lake 製品ラインに追加するという形で行われます。

「保存中、転送中、使用中のデータの暗号化と保護に重点を置くIce Lakeは、お客様が暗号化されたデータから暗号化されたコンピューティングへと移行することをサポートします」と、インテルのデータプラットフォームグループのコーポレートバイスプレジデント兼Xeonおよびメモリグループのゼネラルマネージャーであるリサ・スペルマン氏はビデオプレゼンテーションで述べた。

SGXは、Intelシリコンに組み込まれたセキュリティ重視の命令と機能で構成されており、これによりアプリケーションはセキュアエンクレーブと呼ばれるプライベートメモリ領域でコードを実行できます。この領域は理論上、オペレーティングシステム、ハイパーバイザー、その他のソフトウェアからはアクセスできません。このエンクレーブでは、DRM復号化などの機密性の高い処理を、覗き見されることなく実行できるという考え方です。

SGXはIntelのクライアントエンドチップでは長年利用されてきました。本日発表されたIce Lake Xeonへのセキュリティメカニズムの搭載は、メインストリームのIntelサーバープロセッサへの搭載を示唆しています(エントリーレベルのXeon E3およびXeon-EにはSGXが搭載されていましたが、これらはデスクトップ向けCoreコンポーネントを改良したものです)。

インテル第11世代プロセッサーのイメージ

インテルは Tiger Lake が「世界最高のプロセッサ」だと叫ぶ(そして静かにその秘密を明かす:薄型 Windows、ChromeOS ラップトップ向け)

続きを読む

スペルマン氏は、SGX は「現在データセンターで利用できる最も研究され、更新され、実戦テストされた信頼できる実行促進手段」であり、Microsoft Azure、Alibaba Cloud、IBM Cloud Data Guard などのプラットフォーム上で機密コンピューティングをサポートすると述べた。

SGXは確かに調査されており、情報セキュリティ担当者が脆弱性を発見すると頻繁に更新されます。近年、そのような事例が何度か発生しており、今後も発生する可能性があります。しかし、Intelが脆弱性に注意を払い、発見された脆弱性を修正しているだけで十分なのかもしれません。

Intelの説明によると、TME [PDF] はその名の通り、プロセッサチップセットから外部メモリに入出力されるすべてのデータを、128ビット鍵のAES-XTS暗号化技術を用いて暗号化する方法です。Chipzillaはこの機能を、「デュアル・インライン・メモリ・モジュール(DIMM)に液体窒素を吹き付けて取り外し、読み取る、あるいは専用の攻撃用ハードウェアをインストールする」といったハードウェア攻撃から守るために開発したと説明しています。つまり、サーバーからRAMを抜き取って中身を保存しておけば、いずれにしても暗号化されてしまうということです。

一方、PFR [PDF] は、生産段階からデータ センターまたは同様の環境での展開に至るまで、サーバー ファームウェアの変更や改ざんを防ぐために導入されるさまざまな対策を指します。

PRFは、プラットフォームの信頼のルートとしてFPGAを採用しており、ファームウェアコードの実行前にファームウェアコンポーネントを検証します。メーカーによると、PRFはBIOSフラッシュ、BMCフラッシュ、SPIディスクリプタ、Intel Management Engine、電源ファームウェアなどのコンポーネントを保護できます。

また、宣伝されているさまざまな暗号化の改善は、通常は順次実行されるアルゴリズムとデータ バッファ処理を並列化する技術を指し、これらの操作を同時に実行すると、当然ながら、次々に実行するよりも高速になります。

IntelのIce Lake Xeonは、現時点では実際には利用できない追加のセキュリティレイヤーによって保護されています。しかし、この状態は長くは続かないでしょう。ライバルであるAMDのEpycサーバープロセッサにも、RAM暗号化や仮想マシンメモリの暗号化など、同様のセキュリティ機能が搭載されていると言えば十分でしょう。®

Comparisons

Smart Recommendations

Discover More