Intel renforce la sécurité des processeurs Ice Lake

Les processeurs de serveur Intel Xeon Scalable de troisième génération, nommés Ice Lake, seront déployés avec de nouvelles mises à niveau de sécurité qui, selon le géant des puces, protégeront mieux les appareils contre les attaques de firmware.

Les puces à venir sont basées sur Ice Lake, la microarchitecture de processeur de 10 nm d’Intel, qui a été lancée pour la première fois en 2019. Intel vise les livraisons de ses processeurs évolutifs Xeon pour serveurs à la fin de l’année, mais vient d’annoncer qu’ils viendront avec de nouvelles fonctions de sécurité.

L’une de ces fonctionnalités de sécurité est appelée Total Memory Encryption (TME), qui, selon Intel, permet de garantir que toute la mémoire accessible à partir du processeur est chiffrée – comme les informations d’identification du client, les clés de chiffrement et d’autres informations IP ou personnelles sur le bus de mémoire externe.

intel

«Intel a développé cette fonctionnalité pour fournir une meilleure protection de la mémoire système contre les attaques matérielles, telles que la suppression et la lecture du module de mémoire double en ligne (DIMM) après l’avoir aspergé avec de l’azote liquide ou l’installation de matériel d’attaque spécialement conçu», selon Intel.

Il convient de noter que cette fonctionnalité existe déjà dans d’autres plates-formes de puces concurrentes, AMD ayant proposé pour la première fois sa propre version, Secure Memory Encryption (SME), en 2016.

La technologie TME utilise la norme de chiffrement de stockage, AES XTS, du National Institute of Standards and Technology (NIST). Intel a déclaré qu’une clé de chiffrement est générée à l’aide d’un générateur de nombres aléatoires renforcé dans le processeur sans exposition au logiciel, permettant aux logiciels existants de fonctionner sans modification tout en protégeant mieux la mémoire.

intel cacheout

Intel affirme également qu’une autre nouvelle fonctionnalité peut protéger contre des adversaires sophistiqués qui pourraient tenter de compromettre ou de désactiver le firmware de la plate-forme pour intercepter des données ou arrêter le serveur. Platform Firmware Resilience (PFR) fera partie de la plate-forme Xeon Scalable, qui aidera à se protéger contre les attaques de micrologiciels de plate-forme en les détectant avant qu’elles ne puissent compromettre ou désactiver la machine.

PFR utilisera un FPGA (Field-Programmable Gate Array) en tant que «racine de confiance de plate-forme», qui validera les composants du micrologiciel de la plate-forme critiques avant l’exécution de tout code de micrologiciel. Un FPGA est un circuit intégré conçu pour être configuré par un client ou un concepteur après fabrication.

Les composants du micrologiciel protégés «peuvent inclure la mémoire flash du BIOS, la mémoire flash BMC, le descripteur SPI, le moteur de gestion Intel et le micrologiciel du bloc d’alimentation».

Intel rajoute aussi des mesures de sécurité connues

Le géant des puces apporte également sa fonctionnalité Intel Software Guard Extensions (SGX) à Ice Lake. La technologie SGX est un ensemble de codes d’instructions liés à la sécurité intégrés des processeurs Intel, il protège les données sensibles (telles que les clés de chiffrement AES) à l’intérieur des «enclaves», qui sont physiquement séparées des autres mémoires du processeur et sont protégées par un chiffrement logiciel.

Il convient de noter qu’Intel SGX n’est pas la solution de sécurité ultime – les chercheurs ont déjà pu contourner SGX dans diverses attaques. On pense par exemple au problème de sécurité Plundervolt révélé en 2019 ou aux failles de conception d’exécution spéculative dans les processeurs Intel révélées en 2018.

Les nouvelles fonctionnalités de sécurité interviennent alors que les processeurs Intel ont été en proie à divers problèmes de sécurité au cours des dernières années, notamment Meltdown et Spectre, ainsi que d’autres failles d’exécutions spéculatives et attaques par canal secondaire.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x