Intel Xeon Scalable di terza generazione: con 'Ice Lake' processori mai così sicuri

Intel ha annunciato tre importanti novità in tema di sicurezza che caratterizzano i microprocessori Xeon Scalable di nuova generazione, nome in codice "Ice Lake". Queste CPU, insieme alle proposte Cooper Lake già presentate, rappresentano la terza generazione Xeon Scalable di Intel e sono le prime prodotte con processo produttivo a 10 nanometri e basate su una nuova architettura.

Queste non sono però le uniche novità, infatti Ice Lake offrirà per la prima volta nella famiglia Xeon Scalable le "Software Guard Extensions", meglio note come Intel SGX. Finora in ambito server solo la serie entry-level Xeon-E si era fregiata di questa funzionalità di sicurezza. Di che cosa si tratta? Le SGX sono una serie di istruzioni deputate a creare un ambiente di esecuzione sicuro, detto enclave, al cui interno sono contenute informazioni sensibili come le chiavi crittografiche funzionali all'esecuzione di alcune operazioni.

I contenuti all'interno dell'enclave sono crittografati prima che lascino il processore e che vengano scritti nella RAM e sono decriptati solo quando ritornano nell'enclave. Il ruolo di SGX è quello di salvaguardare l'enclave e bloccare l'accesso ai contenuti a qualsiasi cosa, a meno che non si tratti di una parte attendibile della CPU.

Nel caso degli Xeon Scalable di terza generazione Ice Lake, le enclavi possono proteggere fino a 1 terabyte di codice e dati, molti di più dei 256 MB garantiti dagli Xeon E. Enclavi più grandi significano non solo maggiore protezione, ma anche una minore esigenza di "spostare" le informazioni avanti e indietro dalle stesse, un fattore che in precedenza portava a un calo prestazionale.

Un'altra novità si chiama "Total Memory Encryption", o Intel TME, e il suo nome è abbastanza chiaro: il processore può crittografare tutta la memoria sulla piattaforma. "Tutta la memoria a cui si accede con la CPU è cifrata, incluse le credenziali dei clienti, le chiavi crittografiche e altre informazioni sui bus di memoria esterni", spiega Intel. Questa tecnologia è molto utile anche per gli attacchi fisici all'hardware, inclusa la rimozione e la lettura delle memorie DIMM dopo averle "spruzzate" con azoto liquido o aver installato sulla piattaforma hardware creato appositamente per un attacco.

"Usando lo standard crittografico AES XTS, una chiave crittografica viene generata usando un generatore di numeri casuali rinforzato nel processore senza che questa sia esposta al software. Questo consente ai software esistenti di funziona senza modifiche, proteggendo meglio la memoria nello stesso tempo", aggiunge l'azienda.

Le nuove CPU Intel Ice Lake per server hanno inoltre quelli che Intel definisce "acceleratori crittografici", in modo da "rimuovere o ridurre l'impatto prestazionale della maggiore sicurezza". I nuovi processori introducono diverse nuove istruzioni, insieme a innovazioni algoritmiche e software per accelerare le prestazioni crittografiche fino a otto volte. Ci sono due innovazioni in particolare: la prima è una tecnica per unire le operazioni di due algoritmi che solitamente sono eseguite sequenzialmente e non in parallelo, ossia simultaneamente. Il secondo è un metodo per processare più buffer di dati indipendenti in parallelo.

Infine, la terza novità dei processori Ice Lake si chiama Intel Platform Firmware Resilience (Intel PFR), ed è studiata per proteggere il sistema da attacchi al firmware, in modo da rilevarli e correggerli prima che possano compromettere o disabilitare una macchina. Intel PFR usa un FPGA dell'azienda come un elemento (root of trust) per convalidare l'avvio di componenti critici prima di eseguire il codice del firmware. Intel PFR protegge, tra gli altri, elementi come BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine e il codice che gestisce l'alimentazione del sistema (stati di tensione, ecc.). In pratica, questa funzionalità garantisce che sul server sia installato un firmware legittimo e, se dovesse esserci una modifica di quale genere, la tecnologia dovrebbe intervenire per riportare il firmware allo stato originale.

Il colosso statunitense ha annunciato che la giapponese NEC, il Center for Digital Health della University of California (San Francisco) e l'azienda russa Magnit impegnata nella vendita al dettaglio sono tra le realtà che si affidano a Intel SGX per garantire la sicurezza dei dati in loro possesso, che si tratti di cartelle sanitarie, proprietà intellettuali e altro ancora.

Le CPU Ice Lake per server debutteranno prossimamente per competere con le proposte EPYC di AMD, molto probabilmente le soluzioni Milan di terza generazione basate su architettura Zen 3.