Intel volgt voorbeeld AMD met geheugenversleuteling in cpu

De processorfabrikant wil het hele geheugen hardwarematig gaan versleutelen en doet die ambitie af als baanbrekend, maar AMD biedt die mogelijkheid al twee jaar terwijl Intel niet verder komt dan theoretische plannen.

Op een Security Data-event dat Intel eerder deze week hield, deed de processorfabrikant zijn plannen uit de doeken voor hardwarematige RAM-versleuteling. Total Memory Encryption of TME noemt Intel de technologie, weet ArsTechnica.

TME moet Intel SGX opvolgen. SGX, kort voor Software Guard Extensions, is huisgemaakte technologie waarbij applicaties gebruik kunnen maken van een afgeschermde enclave in de processor. Toepassingen die kritieke workloads uitvoeren, kunnen een deel van de data die ze nodig hebben versleutelen waarna die enkel de processor zelf binnen de enclave de gegevens kan lezen. Zo kan zelfs een toepassing met admin-privileges niet zien wat er precies gebeurt binnen een SGX-enclave.

Beperkingen

Op papier is SGX goed, in de praktijk zijn er enkele beperkingen. Zo is de totale enclave maar 128 MB groot zodat de hoeveelheid data die je kan beveiligen, erg beperkt blijft. Verder moeten ontwikkelaars hun applicaties speciaal bouwen om SGX te kunnen gebruiken. Dat zorgt voor een vendor lock-in, aangezien de technologie Intel-exclusief is. Tot slot heeft SGX een impact op de prestaties, al hangt de ernst daarvan af van de kwaliteit van de optimalisering.

TME moet het gros van de problemen oplossen door de beperkingen van SGX af te voeren. Intel wil het hele RAM-geheugen hardwarematig versleutelen zodat het enkel leesbaar is in de cpu. Dat klinkt als een goede oplossing, wat waarschijnlijk de reden is dat AMD een gelijkaardige technologie al sinds 2018 aanbiedt onder de noemer Secure Memory Encryption of SME, en Transparent Secure Memory Encryption of TSME.

Het voorbeeld van AMD

SME kan je zien als een uitgebreidere versie van SGX, waarbij grote delen van het geheugen versleuteld worden en enkel leesbaar zijn binnen de cpu. Via TSME is het mogelijk om het volledige geheugen op die manier te versleutelen. SME vereist net als SGX optimalisatie van applicaties, TME niet. Omdat de technologie het hele geheugen omvat, kan je ze in- en uitschakelen via de bios.

Bijkomstig heeft AMD nog Secure Encryption Virtualization. Via die variant van SME worden virtuele machines in hun geheel versleuteld, met een unieke sleutel per VM. Die technologie maakt het mogelijk om VM’s beter te beveiligen wanneer die in een datacenter draaien en hardware delen met andere datacenterklanten. Wie daar SGX voor wil inzetten, kan enkel kritieke gegevens beschermen en wordt geconfronteerd met een prestatie-impact.

Inhaalmanoeuvre

Dat Intel nu uitpakt met TME is dus een goede zaak, aangezien SGX te beperkt is voor een heleboel toepassingen. De processorfabrikant schildert TME echter af als nieuwe technologie, maar nieuw is ze hoegenaamd niet. In de praktijk probeert Intel AMD achterna te hollen. Dat gebeurt de laatste jaren steeds vaker. Het marktaandeel en de bijhorende omzet van Intel blijft enorm vergeleken met AMD, maar sinds 2018 is het vooral de kleine concurrent die het voortouw neemt op het vlak van technologie.