AMD x86 Zen Architecture พร้อมด้วยเทคโนโลจีทางด้านความปลอดภัยของข้อมูล SME, SEV และ HW ที่เป็น SHA

วันนี้เราจะมาคุยทางด้านแนวโน้มของเทคโนโลจีที่แหวกแนวก้าวหน้าไปอย่างก้าวกระโดดซึ่งจะเป็นจุดเปลี่ยนที่สำคัญในตลาดทั่วโลก แน่นอนคุณลักษณะอันนี้มันมีอยู่ใน AMD’s compute architecture/การประมวลผลและการคำนวณ. คำว่า Disruptive หรือความก้าวหน้าแบบกระโดดข้ามซึ่งในที่นี้จะให้คำอธิบายเกี่ยวกับทางด้านเทคโนโลจีที่เกี่ยวข้องกับตลาดที่เคยเป็นและจะเป็นตัวแปรที่เปลี่ยนไปอีกจุดที่ดีกว่าเก่า ซึ่งด้วยความก้าวหน้านี้จะมีผลกระทบต่อธุรกิจ ที่มีความเกี่ยวโดยตรงทางด้านข้อมูล ความมั่นคง ซึ่งกล่าวได้เลยว่ามันยังไม่เกิดขึ้นใน Intel architecture.

AMD Zen มาพร้อมจุดเด่นทางด้าน SME (Secure Memory Encryption), SEV (Secure Encrypted Virtualization) และ ตัวฮาร์ดแวร์ในกลุ่มของ SHA ซึ่งจะถูกขับเคลื่อนโดย security co-processor

มีอยู่สองจุดหลักที่สำคัญที่ทางเราจะกล่าวถึงในบทความนี้และยังมีอีกประเด็นที่สำคัญไม่น้อยไปกว่ากันนั้นก็คือ ตัวผสมผสานที่ทำให้ Zen นั้นเป้นที่ต้องการต่อองค์กรขนาดใหญ่ทางด้านธุรกิจ/Enterprise sector. ตัวแรกที่จะกล่าวถึงก็คือ SME และ SEV, ซึ่งย่อมาจาก Secure memory Encryption และ Secure Encrypted Virtualization. ส่วนตัวสุดท้ายจะเป็นทางด้านฮาร์ดแวร์ที่เป็น SHA. อย่างที่เราได้กล่าวเอาไว้, ในส่วนของ Intel architecture นั้นยังไม่มีองค์ประกอบทางด้านนี้อยู่ในตัวโครงสร้างของมันหรือในส่วนที่จะมาแข่งขันกันในตลาด. และหากถึงเวลาที่จะเปิดตัว, Zen นั้นจะเป็นตัวเจ็บที่จะมาแข่งกับ Skylake และ Kaby Lake ที่เป็น processors, ชิปทั้งสองนั้นขาดคุณสมบัติด้งกล่าวที่ได้กล่าวเอาไว้เบื้องต้น. และมันก็คงจะยังไม่เกิดกับหรืออาจจะมีใน Cannonlake และ Coffe Lake ก็ได้เพราะหน้าตารูปร่างเป็นเช่นไรตอนนี้ยังไม่สามารถกล่าวได้แต่หากมีจริงก็คงจะไม่ใช่คู่แข่งแน่ๆ.

ทั้งหมดนี้มันจะเกิดขึ้น, ซึ่งทาง AMD ได้จัดเอา “Security Co-Processor” เข้าไปไว้ในตัว Zen chip. แต่ก่อนที่เราจะกล่าวถึงรายละเอียด – ให้ทางเราได้ยกตัวอย่างที่สามารถเข้าใจได้ง่ายๆกันก่อนl. ทางเว็ป WCCFtech นั้นเราใช้ระบบ VPS/virtual private server/(หรือ เซิร์ฟเวอร์เสมือน เป็นการนำเซิร์ฟเวอร์จริงๆ 1 เครื่องมาจำลองเป็น เซิร์ฟเวอร์เสมือนหลายๆ เครื่องภายในตัวของมัน แต่ละเซิร์ฟเวอร์เสมือนภายในนั้น สามารถลงระบบปฏิบัติการเป็นของตัวเองแยกกันได้อิสระ ไม่เกี่ยวข้องกับเซิร์ฟเวอร์เสมือนตัวอื่นๆ ถึงแม้จะอยู่ภายในเครื่องฮาร์ดแวร์เดียวกันก็ตาม) ซึ่งเราได้ในขนาดหรือ traffic ที่เรามีเหมาะสมกับสิ่งที่เราต้องการหรือในอีกแง่หนึ่งคือเราใช้ cloud เป็นตัวโฮสท์. ซึ่งเราไม่ต้องจ่ายค่าเช่าในส่วนของ server resources หรือในสิ่งที่เราไม่ได้ใช้  เรากล่าวไว้ว่าเราโฮสท์อยู่บน cloud, สิ่งที่เกิดขึ้นจริงก็คือเว็ปไซด์เรานั้นเซิร์ฟผ่านทางเซิร์ฟเวอร์จริงๆ 1 เครื่องมาจำลองเป็น เซิร์ฟเวอร์เสมือน. ด้วยวิธีนี้เราสามารถกำหนดได้ว่าเราจะใช้งานมันมากน้อยขนาดไหนและยังขึ้นอยู่กับขีดความสามารถของ เซิร์ฟเวอร์จริงอีกด้วย ทั้งนี้ก็ขึ้นอยู่กับลูกค้าที่เข้ามาใช้งานและการเข้าใช้จริงหรือสิงอยู่ในแรม.

ซึ่งก็หมายความว่าข้อมูลของเรานั้นและรายละเอียดของลูกค้าถูกเก็บในรูปแบบ unencrypted format ในแรมที่เป็น servers. และก็ยังหมายถึงว่าผู้ให้บริการทางด้าน cloud hosting นั้นต้องสามารถไว้ใจได้ หากมีการจู่โจมหรือถูกกระทำใดๆที่เสี่ยงต่อข้อมูลใน memory ซึ่งแน่นอนก็ยังมีข้อมูลสำรองอีกชุดอยู่ใน virtualized server/เซิร์ฟเวอร์เสมือน – ซึ่งก็คือข้อมูลทั้งหมดที่สามารถกระทำได้/cleartext อยู่ข้างใน. ด้วยวิธีนี้ก็ไม่ได้ทำให้ปัญหามันมากขึ้นหรือล่าช้าลง, ผู้ถูกจู่โจมต้องแน่ใจว่าตัว RAM นั้นจะไม่ขาดไฟฟ้าเพราะหากเกิดขึ้น ข้อมูลนั้นจะหายไปทันทีและไม่สามารถที่จะเรียกคืนหรือ recovery ได้อีก. ซึ่งด้วยวิธีนี้ทำให้การเข้าโจมตีนั้นจะเกิดขึ้นได้ยาก แต่ก็ไม่ใช่จะกระทำหรือโจมตีไม่ได้. ทำให้มีไอเดียใหม่เกิดขึ้นสองรูปแบบ: Virtualization/แบบเสมือน และ Volatile Memory/หน่วยความจำที่ต้องการพลังงานเลี้ยงตลอดเวลาเช่น main memory. ในส่วนของ Intel based architectures นั้น ณ ขณะนี้ยังไม่มีหน่วยความจำรูปแบบนี้หรือ memory encryption technology ที่จะมารองรับ virtualization. แต่มี SGX, ย่อมาจาก Software Guard Extensions แต่ก็ไม่เหมือนที่อยู่บน Zen SEV/SME เหตุเพราะไม่สามารถให้เป็นแบบเสมือนได้หรือ cannot be virtualized.

Zen SEV – เหมือนกับพรจากพระเจ้าที่มาปกป้อง cloud computing?

ก้เหมือนกับ NVDIMM/ (หน่วยความจำในเครื่องคอมพิวเตอร์ ที่ข้อมูลในนั้นจะไม่ลบหายไป แม้ว่าจะปิดกระแสไฟแล้วก็ตาม เช่น หน่วยความจำประเภทอ่านอย่างเดียว (ROM) เป็นต้น)(non volatile memory)หรือสามารถเปรียบได้กับ secondary storage  แต่ว่านี้อาจจะมีปํญหาเกิดขึ้น. ซึ่งจะไม่เหมือน volatile DIMMs, non volatile memory คือข้อมูลที่จะไม่หายไปไหนแม้ไฟฟ้าจะดับหรือเกิดขึ้นโดยคอมพิวเตอร์หยุดทำงานก็ตาม. เป็นเพราะว่าข้อมูลที่อยู่ข้างในนั้นเป็นรูปแบบ unencrypted format/ไม่เข้ารหัส, ผู้จู่โจมมักจะใช้วิธีตัดพลังงานออกจากตัว memory หรือการอัดก๊อปปี้เอาไว้ เช่น –  passwords, confidential data/ข้อมูลลับ, ทั้งหมดนี้แน่นอนเป็นข้อมูลที่สามารถเบ้าถึงได้หรือเป็น clear text format. ถ้าจะกล่าวให้ตรงตัว, NVDIMMs ก็คือคู่ต่อสู่ที่แท้จริงสำหรับบรรดาแฮ๊คเกอร์ทั้งหลาย.

คราวนี้กลับมาที่ Zen SME. หรือ Zen Secure Memory Encryption ก็คือวิธีการบางอย่างที่ยอมให้ข้อมูลที่ถูกใส่รหัสเรียบร้อยแล้วนั้นเข้าใช้งานได้หรือถูกใช้งาน. ข้อมูลของคุณจะถูกใส่รหัสทันทีที่มันท่องไปใน internet. และมันก็เป็นเช่นนั้นเหมือนกันหากมันถูกเก็บไว้ใน HDD หรือ SSD ใน server. แต่มีอยู่ที่ที่ข้อมูลนั้นจะเป็น clear text นั้นก็คือใน RAM. ด้วย Zen SME, เราสามารถทำการเข้ารหัสบางส่วนใน “cleartext” ใน memory ได้เพื่อความปลอดภัย.

อย่างที่เคยกล่าวเอาไว้ว่า, ทาง Intel นั้นก็มีอะไรทำนองนี้เหมือนกันที่เรียกว่า Software Guard Extensions, แต่มันไม่สามารถจำลองได้เหตุเพราะตัว silicon นั้นไม่ได้พกพาขั้นตอนนี้เข้าร่วมใช้ด้วย/complete memory encryption standard. แต่ไม่ใช่เจ้าตัวนี้ SME, และนี้ก็เป็นอีกจุดเด่นหนึ่งที่ทางฝ่ายแดงให้มาเพิ่มแบบผสมผสาน: Zen SEV หรือ Zen Secure Encrypted Virtualization.

และอาจกล่าวได้ว่านี้มันพรจากพระเจ้าจริงๆที่ให้มาจำเพาะกับ cloud computing (และ security conscious individuals/ความปลอดภัยและตระหนักของแต่ละคน), ซึ่งมันยอมให้ end users นั้นเข้ารหัสจำลองได้ทั้งหมด. ผู้ให้บริการหรือ cloud providers (ที่สามารถเข้าถึงข้อมูลหลักได้) หากกระทำเช่นนี้ได้ก็จะทำให้ข้อมูลของลูกค้านั้นปลอดภัยร้อยเปอร์เซนต์.

Zen ยังมาพร้อมตัวฮาร์ดแวร์ที่เป็น SHA (SHA หรือ Secure Hash Algorithm สามารถเข้าอ่านได้จากลิงค์ที่ให้มา http://www.tnetsecurity.com/content_attack/crypt_basicknowledge.php)

– ซึ่งมันจะทำให้ประสิทธิภาพนั้นดีมากขึ้นกว่าครั้งที่แล้วจาก AMD architectures และโดยเฉพาะยังดีกว่าทาง Intel นั้นให้มาด้วยซ้ำ! สิ่งที่เรารู้ก็คือ,ตัวฮาร์ดแวร์ที่เป็น SHA จะไม่เกิดขึ้นในสิ่งที่ Intel ให้มาจนกระทั่ง Cannonlake เปิดตัวทางเราได้ทำรายการออกมาถึงสิ่งที่เสียเปรียบของตัว SGX – เพราะมันไม่สามารถจำลองได้. หากถึงเวลาที่เปิดตัว, Zen processors นั้นจะเป็นคู่แข่งที่น่ากลัวที่เป็น x86 chips ที่มีตัวฮาร์ดแวร์ SHA ร่วมอยู่ด้วย (และยังมาพร้อมขีดความสามารถที่เพิ่มขึ้นอีก) และทำงานร่วมกับ SME/SEV security.

ที่มาเครดิต

http://wccftech.com/amd-zen-encryption-sme-sev-hw-based-sha/