Intels Full Memory Encryption soll endlich mit AMD aufschließen

[HWL News Bot]

Auf einem Security Day hat Intel in der vergangenen Woche über seine Pläne hinsichtlich der Sicherheit mittels Total Memory Encryption (TME) gesprochen. ArsTechnica hat am Security Day teilgenommen und die wichtigsten Informationen zusammengetragen. Aktuell setzt Intel auf die SGX (Software Guard Extensions), die eine Secure Enclave herstellen, in der die Daten sicher abgelegt werden sollen.
... weiterlesen

 

[zenvy]

Pro Prozessor stehen auch nur 16 MB an Enclave Page Cache zur Verfügung.

Wo habt ihr das denn her? Skylake bis Icelake hat alles max 128MiB Processor Reserved Memory (PRM) was zu 92/93 MiB EPC führt. Icelake-U (z.B. der i7-1065G7) hat 256 MiB PRM was zu 188 MiB EPC wird.
Ja, das ist nicht viel. Aber es sind eben auch keine 16 MiB.

Zu AMDs SME sie auch noch zu sagen das dieses eine reine Verschlüsselung ist die keine Integritätschecks macht. Ändert sich ein Bit (sei es durch einen Bitflip oder weil ein Angreifer direkt in den Ciphertext schreibt, dann entschlüsselt SME das brav und man hat Müll danach. Oder man spielt einfach alte Daten zurück in dem man alten Ciphertext zurückkopiert.
Der EPC von SGX hat Verschlüsselung mit Integritätschecks. Wenn sich hier der Ciphertext ungewollt ändert oder direkt beschrieben wird, dann merkt SGX das und hält das System an. Deswegen wird auch der nutzbare EPC immer kleiner sein als der PRM: irgendwo muss der Hashbaum hin.

 

[Phantomias88]

Bezüglich SME hat Cloudflare auch ein Interssanten Blog geschrieben: https://blog.cloudflare.com/securing-memory-at-epyc-scale/
Neu beim EPYC dürfte wohl auch die Daten Integritätscheck des PCI-Express 4.0 Bus sein, welche Automatisch vom Protokoll gemacht wird.

Across all 11 data points, our average performance drag was only down by .699%. Even at scale, enabling this feature has reduced the worry that any data could be exfiltrated from a stolen server.