AMD Zen: Neuartige Verschlüsselung für virtuelle Maschinen

Mit der neuen Zen-Mikroarchitektur möchte AMD nicht nur Intels Vorherrschaft im High-End-Desktopsegment beenden, sondern sich zugleich im Servermarkt behaupten. Infolgedessen werden künftige Opteron-Prozessoren mit neuartigen RAM-Verschlüsselungsmethoden ausgestattet. Insbesondere Betreiber von virtuellen Maschinen sollen von dieser Technik profitieren.

Tim Görlich, Veröffentlicht am 13.10.2016

In der modernen IT-Branche, etwa bei Cloud-Dienstleistern, nimmt die Datensicherheit eine zunehmend wichtige Rolle ein. Zuverlässige, schelle, sichere und vor allem günstige Verschlüsselungstechniken sind gefragt. Hardwareverschlüsselung erfüllt all diese Anforderungen und etabliert sich daher neben der klassischen Verschlüsselung auf Softwareebene. AMD und Intel integrieren daher seit einigen Jahren den Advanced Encryption Standard (AES) als Befehlssatzerweiterung in ihren Prozessoren. AMD kündigt darüber hinaus zwei neue Verschlüsselungsverfahren für die kommende Zen-Mikroarchitektur an.

Konkret werden die zwei neuen Verschlüsselungstechniken Secure Memory Encryption (SME) und Secure Encrypted Virtualization (SEV) mit den kommenden Opteron-Prozessoren eingeführt. SME ist in der Lage die bisher ungeschützten Daten im Arbeitsspeicher mittels AES128 zu verschlüsseln. Der hierzu verwendete Schlüssel lässt sich weder auslesen noch manipulieren. Die Verschlüsselung erfolgt über die ARM TrustZone eines Cortex-A5-Coprozessors, welcher die zusätzliche Latenz möglichst gering halten soll. Die Vollverschlüsselung des gesamten Arbeitsspeichers stellt die einfachste Variante von SME dar, schützt aber lediglich vor physischen Angriffen. Der Diebstahlschutz von nichtflüchtigen Speichermodulen (NVDIMMs) in Storage-Systemen wäre ein denkbarer Anwendungsfall.

Darüber hinaus wird es auch möglich sein nur einen bestimmten Speicher-Adressbereich zu verschlüsseln. In diesem Szenario kann aus dem unverschlüsselten Adressbereich nicht mehr auf den geschützten Bereich zugegriffen werden. In der Praxis bietet dies enorme Vorteile. Beispielsweise kann ein Cloudanbieter unter Verwendung eines Hypervisors (HV) bloß den RAM-Adressbereich der VMs verschlüsseln, wodurch es dem HV-Administrator softwareseitig nicht mehr offensteht den Inhalt der VMs im Klartext auszulesen. Damit bleibt selbst dem Betreiber der Cloudlösung das Ausspionieren der Kundendaten verwehrt. Sein volles Potential offenbart SME aber erst in Kombination mit SEV, welches jedoch eine Unterstützung des eingesetzten Gastsystems erfordert. SEV ermöglicht die Abschottung der einzelnen VMs untereinander, indem jede VM ihren eigenen Schlüssel erhält. Ein unverschlüsselter Shared Memory in jeder VM sorgt dafür, dass diese miteinander und weiterhin mit dem HV kommunizieren können. Die hierfür erforderlichen Änderungen für den Linux-Kernel werden von AMD bereitgestellt.

Als zusätzliche Absicherungsmaßnahme wird Zen hardwarebasiertes SHA (secure hash algorithm) bieten. SHA ist eine standardisierte kryptologische Hashfunktion und gewährleistet die Integrität von digitalen Informationen.

Die Zen-Mikroarchitektur soll ihr Debüt noch Ende des Jahres im Desktopsegment feiern. Größere Stückzahlen werden aber erst im neuen Jahr erwartet. Der Vertrieb der Server-Prozessoren soll erst danach beginnen.