Az Intel augusztus közepén villantotta meg az új, Ice Lake-SP kódnevű Xeon generációt, amelynél már akkor elmondták, hogy a biztonság tekintetében is előrelépés történt, de ennek a mértékét korábban még csak találgatni lehetett.
A vállalat több ponton is hozzányúlt az eddigi rendszeréhez, és továbbfejlesztették az SGX (Software Guard Extensions) technológiát. Utóbbi szempontból az egyik legnagyobb újítás, hogy a létrehozott enklávék mostantól akár 1 TB-osak is lehetnek, és az ebben található adatokat külső gyorsítók is elérhetik. Valószínű, hogy a változást az indokolta, hogy könnyebb legyen dolgozni az SGX-szel, hiszen korábban a rendszer igen kis memóriaterületre volt alkalmazható, és ott tárolt adatok elérése is rendkívül sok korlátozásba futott. Az tehát egyrészt jó, hogy innentől kezdve könnyebb lesz SGX-szel kompatibilis alkalmazásokat fejleszteni, másrészt viszont maga a technológia nem a biztonságáról volt eddig híres, hiszen számos rést találtak már pajzsán az elmúlt időszakban. Amennyiben új sebezhetőségeket fedeznek fel, az már kifejezetten sok, akár 1 TB-nyi tárolt adathoz is potenciális utat nyit. Ezt nyilván az Intel is tudja, de valószínűleg úgy gondolják, hogy a frissítéseik megbízhatóak annyira, hogy felvállalhassák ezt a kockázatot.
[+]
Az Ice Lake-SP egyik nagy újítása, a TME (Total Memory Encryption) is bemutatkozott hivatalos formában. Olyan nagy titokról persze nincs szó, hiszen egy alapvető memóriatitkosításról van szó. Ez ugyanazt csinálja, mint az AMD EPYC rendszerekben az SME, azaz kvázi elhanyagolható teljesítménycsökkenésért cserébe titkosítja a memória tartalmát.
Érdekes azonban, hogy az Intel még a 2017-es esztendő végén beszélt arról, hogy miképpen lehetne biztonságosabbá tenni a jövő szervereit. A TME-nek pedig van egy kiegészítő technológiája, ami az MKTME névre hallgat. Ez virtualizációs technológiák reformjára koncentrál, és lehetővé teszi a memória több kulcs felhasználásával történő titkosítását, így az egyes virtuális gépekhez egyedi kulcs rendelhető. Ez sajnos hiányzik a Ice Lake-SP-ből, tehát az Intel alapvetően az AMD-féle SEV-re még nem tudott reagálni, ami az első generációs EPYC óta elérhető.
A Santa Clara-i óriáscég szerint a Confidential Computing szolgáltatásokat az Ice Lake-SP az SGX és a TME együttes alkalmazásával tudja célozni, de technológiai szempontból ezek meg sem közelítik az AMD-féle SEV és SME párosítását. Az elsődleges probléma, hogy az SGX nem fut ám akármilyen szoftverrel, direkt erre kell programozni az alkalmazást, vagyis szoftveres szinten kifejezetten nagy költsége van annak, hogy egyáltalán működjön. Az MKTME ott segítene, hogy lehetővé tenné a memória több kulcs felhasználásával történő (ezek mennyisége hardverfüggő) titkosítását, így az egyes virtuális gépekhez egyedi kulcs lenne rendelhető. Ez sokkal inkább hasonlít arra, amit az AMD csinál a SEV technológiájával, és ezzel a biztonságos rendszer alkalmazása drámaian leegyszerűsödne. Ráadásul az MKTME-vel a hypervisor sem férhetne hozzá a vendég virtuális gépek adataihoz.
Valószínűleg az MKTME majd egy későbbi Xeon generációban lesz hozzáadva a rendszerhez, és azzal együtt lesz majd a TME technológia igazán ütőképes, addig inkább egy félkarú óriásnak számít.
[+]
A fentieken túl azért vannak még nagyon érdekes biztonsági fejlesztések az Ice Lake-SP-ben. Többek között a kriptográfiai feladatokban sűrűn használt utasítások végrehajtását felgyorsították, ami jónak mondható, de a fejlődés velejárója inkább, viszont a PFR (Platform Firmware Resilience) technológia rendkívül hasznos és egyedi újítás lesz. Ez a rendszer egy opcionálisan beépíthető szolgáltatás az új skálázható Xeon generációhoz, amivel védelmet lehet szerezni a BIOS-ra vonatkozó módosításokat célzó támadások ellen.
A PFR alapja egy alaplapra épített Max 10 sorozatú FPGA, ami hozzáfér a rendszerbuszokhoz, és figyeli az adatmozgást. Amint valami rendelleneset tapasztal, beavatkozik egy tárolt javítási formulával. A rendszer működését a szervergyártók fogják paraméterezni, így az elérhetőségéről, illetve a terméktámogatásról is náluk kell majd érdeklődni.
