AMD Epyc: Architektura bezpieczeństwa. Niezwykły związek z PS4 i Xboksem One
Serwerowe procesory AMD Epyc szybko pną się w rankingach popularności, co zawdzięczają nie tylko świetnemu stosunkowi wydajności do zużycia energii, ale także wysokiemu poziomowi bezpieczeństwa. Forrest Norrod, szef departamentu centrów danych w AMD, ujawnił, że ta druga cecha wynika bezpośrednio z doświadczeń zdobytych przy projektowaniu czipów dla PlayStation 4 oraz Xboksa One. Co może mieć wspólnego wyspecjalizowany układ serwerowy z konsolami? – zapytacie.
Jedną z kluczowych funkcji bezpieczeństwa czipów AMD Epyc jest Secure Encrypted Virtualization (SEV). To rozwiązanie, które pozwala na izolację maszyn wirtualnych od modułu hipernadzorcy i siebie nawzajem. SEV wykorzystuje wbudowany koprocesor Arm do generowania kluczy kryptograficznych i w przypadku Epyc 2. generacji może stworzyć łańcuch z aż 509 takich kluczy.
Jak zdradził Norrod, cytowany przez CRN, rozwiązanie to narodziło się w PS4 i Xboksie One jako zabezpieczenie antypirackie. Każda legalna gra/aplikacja jest tam kontenerem, który uruchamia się w kompletnie izolowanym środowisku. Tym samym nie ma fizycznej opcji, aby wstrzyknąć w procesy systemu jakikolwiek nieautoryzowany kod, działając z poziomu gry/aplikacji uruchomionej w trybie użytkownika. Jak pamiętacie, w taki właśnie sposób łamano przenośne PlayStation Portable. Wykorzystywano sfabrykowane zapisy stanu konkretnych gier.
Przy czym samo SEV jest niejako kolejnym krokiem w rozwoju tego pomysłu. Wywodzi się z funkcji Secure Memory Encryption (SME), umożliwiającej szyfrowanie fragmentów pamięci 128-bitowym kluczem AES, który jest generowany losowo przez generator sprzętowy. Proces ten jest powtarzany przy każdym rozruchu. SEV działa dla całej maszyny wirtualnej, a nie określonego procesu.
Co ciekawe, zdaniem Norroda, początkowo AMD wcale nie rozpatrywało izolacji kryptograficznej w kategoriach centrów danych. Pomysł rzucił ponoć on sam, dołączywszy do czerwonych w 2014 roku. Wcześniej pracował dla Della w dziale serwerów, gdzie miał okazję przekonać się o sile ataków polegających na analizie wzorów bitowych. A człowiek uczy się na błędach, prawda?
Niezależnie od tego, czy Norrod mówi prawdę w kontekście akurat swego własnego wizjonerstwa, niezwykły związek pomiędzy procesorami AMD Epyc a konsolami do gier definitywnie zasługuje na uwagę. Jest to zarazem pstryczek w nos dla tych, którzy sądzili, że brnąć w rynek gier, AMD marnuje zasoby, które mogliby poświęcić na "poważniejsze sprawy". Jak widać na niniejszym przykładzie, ten wyśmiewany rynek gier może być całkiem niezłym poligonem doświadczalnym.