Mise en œuvre de la sécurité au niveau de la puce

Question

Avec l'acquisition récente par Intel d'une société de sécurité bien connue, je commence à réfléchir aux logiciels qui pourraient être plus sécurisés au niveau de la puce. Les exemples que je suis venu avec sont:

• génération de nombres aléatoires
• cryptage
• Protection de la mémoire

Mais la sécurité au niveau du matériel plus sûr que la sécurité à base de logiciels? (Je suppose que les déchets sont dans les poubelles, quel que soit le niveau de fonctionnement) Quelles sont les considérations de conception pour la sécurité intégrée? Quelles sont les limites? Enfin, avez-vous de bonnes ressources pour en apprendre davantage sur le sujet?

Answer 1

Actuellement, Intel a déjà mis en œuvre un grand nombre de technologies de sécurité basées sur le matériel (puce et chipset).

Certaines technologies pertinentes sont:

• intel vPro, qui comprend:
  • intel Trusted execution Technology
  • intel Active Management Technology
  • intel Virtualization Technology
• intel Anti-Theft Technology
• intel RNG (Random Number Generator)
• Hardware based encyption
• XD (eXecute Disable)

En général, la sécurité matérielle est plus sûr, car il est pratiquement impossible de «passer sous votre code (apportez des modifications à un niveau inférieur) .

Answer 2

La sécurité au niveau matériel ne peut résoudre que certains problèmes de sécurité. Par exemple, les zones NX rendent les débordements de buffer plus difficiles à exploiter (mais pas impossible, return-to-libc). L'archatecture de cpu que vous utilisez n'affectera pas les vulnérabilités plus courantes comme SQL Injection et je ne pense pas que cela puisse être le cas. Il peut également y avoir des vulnérabilités dans le matériel, par exemple this vulnerability in Intel cpu's.

Intel veut rendre ses produits actuels plus sûrs. Intel a également beaucoup d'argent dans les économies et ils pourraient regarder cet achat récent comme un investissement dans un domaine en pleine croissance.

Answer 3

Ce fil est un peu ancien, mais vous pouvez également lire le Intel Secure Key technology (génération de nombres aléatoires) intégré aux processeurs Intel (à partir des processeurs de génération 2012). Le guide d'implémentation explique en détail ce qui le rend le plus sûr qu'une implémentation basée sur un logiciel.

Answer 4

Bien que ce fil de discussion soit assez ancien, j'ai trouvé un article sur Intel Secure Key qui décrit ses aspects de génération de nombres aléatoires, de sécurité et de performance. Le document complet est ici (http://iopscience.iop.org/article/10.3847/1538-4357/aa7ede/meta;jsessionid=A9DA9DDB925E6522D058F3CEEC7D0B21.ip-10-40-2-120), mais la version non-paywalled est ici(). En bref, la meilleure technologie que nous ayons pour la génération de nombres aléatoires est Intel Secure Key, qui utilise les jeux d'instructions RdRand et RdSeed.Il s'agit d'un générateur de nombres pseudo-aléatoires cryptographiquement sécurisé qui utilise une source d'entropie sur puce pour alimenter de manière aléatoire le générateur de nombres. Il est entièrement compatible avec les spécifications de sécurité à jour telles que NIST SP800-90Ar1/B/C, FIPS-140-2 et ANSI X9.82.