Werbung
Die AMD Secure Encrypted Virtualization (SEV) und die Intel-Software Guard Extensions (SGX) werden verwendet um Daten, die in den RAM-Speicher geladen wurden, zu verschlüsseln. Besagte Technologie wird zumeist bei Cloud-Servern genutzt, die sich in Rechenzentren befinden. Hier wäre es theoretisch möglich, dass ein Betreiber solch eines Zentrums beziehungsweise die Administratoren/Techniker sich unberechtigterweise Zugriff auf die Daten verschaffen.
Schwachpunkt der genannten Technologie ist jedoch, dass man sich dabei komplett auf die Unternehmen und dessen Technologie verlassen muss. Dies gilt sowohl für die Zertifikate des jeweiligen Systems als auch dafür, wie diese implementiert wurden. Wie jetzt allerdings bekannt geworden ist, befinden sich in Intels SGX und in AMDs SEV diverse Sicherheitslücken. So ist SGX unter anderem anfällig gegenüber L1TF oder MDS/RIDL/Zombieload.
AMDs SEV verwendet einen Schlüssel pro virtueller Maschine. Dadurch werden der Gast und der Hypervisor voneinander getrennt. Die Schlüssel werden von AMDs Secure Processor verwaltet. SEV erfordert die Aktivierung im Gastbetriebssystem und auf dem Hypervisor. Dadurch kann die VM angeben, welche Pages im Speicher verschlüsselt werden sollen.
Des Weiteren gab Intel bekannt, dass die neuen Xeon-Prozessoren die RAM-Verschlüsselungsverfahren Total Memory Encryption (TME) und Multi-Key Total Memory Encryption (MKTME) nutzen werden. Die Software Guard Extensions kommt dort nicht mehr zum Einsatz. SGX wurde von Intel mit der Skylake-Mikroarchitektur eingeführt.
Laut Aussagen von Robert Buhren von der TU Berlin schafft selbst ein Firmware-Update bei AMDs SEV keine Abhilfe. In einer entsprechenden Veröffentlichung geht der Wissenschaftler auf die Migration Attack ein und publiziert eine Reihe von Ratschlägen, mit denen es möglich wäre, die Schlüsselkette für Remote Attestation zu schützen.