Inför lanseringen av den kommande generationen av Xeon-processorer för serverbruk, med kodnamnet Ice Lake, meddelar Intel i ett pressmeddelande att man lagt till tre nya säkerhetsfunktioner inom ramen för det som Intel kallar för Software Guard Extension, eller Intel SGX.

Den första funktionen ser till att kryptera arbetsminnet och därmed skapa så kallade enklaver för varje process. Kryptering av vilande data och data under transport är sedan länge i bruk, men data under bearbetning är fortfarande ett område under utveckling.

Krypterar alla delar av arbetsminnet

Det Intel kallar för Total Memory Encryption (Intel TME) ser till att kryptera alla delar av arbetsminnet som processorn arbetar med och ska enligt Intel skydda till och med mot attacker där en angripare försöker ta ut en minnesmodul efter att ha sprayat den med flytande kväve.

Tekniken använder krypteringstandarden AES XTS och genererar en krypteringsnyckel genom en speciellt härdad hårdvara på processorn, utan att nyckeln kan exponeras mot mjukvara. Detta gör enligt Intel att existerande mjukvara exekveras som tidigare, men med skydd av arbetsminnet.

Kan parallellköra algoritmer

Den andra nyheten i Ice Lake är att den nya generationen kan accelerera kryptografiska algoritmer genom parallellisering. Ice Lake kommer med nya instruktioner som dels låter processorn parallellköra två algoritmer som vanligtvis beror av varandra på ett sekventiellt sätt, dels en metod som gör att processorn kan hantera flera oberoende databuffers parallellt.

Nya Ice Lake kommer enligt Intel även att tillföra ett skydd för den inbyggda mjukvaran, firmware. Det Intel kallar för Platform Firmware Resilience (Intel PFR) ska se till att skydda den systemkritiska inbyggda mjukvaran med hjälp av ett egentillverkat FPGA-chip som validerar mjukvaran innan den laddas in i processorn och exekverar. De olika komponenterna som kan skyddas med denna teknik inkluderar BIOS Flash, BMC Flash, SPI Descriptor, Intel Management Engine och mjukvaran i kraftaggregatet.

