Identitäts- und Datenverschlüsselung für PCIe- und CXL-Sicherheit

Datenschutz und Sicherheit waren schon immer ein Anliegen, wenn es um Computer geht. In früheren Jahrzehnten bedeutete dies für die meisten Menschen, Passwörter zu schützen und Ihren Computer zu sperren. Heutzutage speichern jedoch immer mehr Benutzer sensible Daten in der Cloud, wo sie im Ruhezustand und während der Übertragung geschützt werden müssen. In einem Synopsys-Webinar zitiert Dana Neustadter, Senior Marketing Manager für Security IP, Zahlen von Skyhigh Networks, die zeigen, dass bis zu 21 % der Dateien, die auf Filesharing-Dienste hochgeladen werden, sensible Daten wie medizinische, finanzielle oder persönliche Informationen enthalten.

Obwohl wir alle der Meinung sind, dass Rechenzentren und die zugehörige Infrastruktur sicher sind, werden Sie, wenn Sie sich jemals ein Video eines „Penetrationstesters“ angesehen haben, sehen, wie einfach es für Angreifer ist, physisch auf einige Websites zuzugreifen. Wenn Sie eines dieser Videos sehen möchten, suchen Sie auf Youtube nach „Pen Tester“. Glücklicherweise reagiert die Industrie auf dieses Problem, indem sie Spezifikationen wie PCIe und CXL (Computer eXpress Link) um Sicherheit erweitert. Diese Ergänzungen tragen wesentlich dazu bei, die Anforderungen neuer Gesetze und Vorschriften zu erfüllen, die Anforderungen an die Systemsicherheit bei sensiblen Daten schaffen.

Die Sicherheit für Daten in Bewegung in PCIe und CXL hängt natürlich von der richtigen On-Chip-Sicherheit innerhalb von SOCs ab. Eine vertrauenswürdige Ausführungsumgebung sollte über ein Hardwaresicherheitsmodul (HSM) Einschalt-, Laufzeit- und Ausschaltsicherheit bieten. Der eigentliche Schlüssel zur PCIe- und CXL-Sicherheit ist das Hinzufügen einer Integrity and Data Encryption (IDE)-Komponente. Im Synopsys-Webinar beschreibt Dana ausführlich die Funktion und den Betrieb einer IDE in Verbindung mit Authentifizierung und Schlüsselverwaltung. Die Spezifikationen PCIe 5.0/6.0 und CXL 2.0/3.0 fordern diese zusätzliche Funktionalität, um eine erhöhte Sicherheit zu bieten.

Die IDE soll innerhalb der PCIe-Transaktionsschicht sitzen. Dies ist ein kritischer Aspekt des Designs, denn zusätzliche Sicherheit ist zwar eine wesentliche Anforderung, muss aber minimale Auswirkungen auf Latenz und Leistung haben. Im Moment erlauben die Spezifikationen IDEs bei der Handhabung von TLP-Streams. Der FLIT-Modus wird in der PCIe 6.0-Version enthalten sein. Pakete werden durch AES-GCM mit 256-Bit-Schlüsseln und 96-Bit-MAC-Tags geschützt. Idealerweise sollte das Hinzufügen von IDE Plug-and-Play sein, und dies ist der Fall für die Synopsys PCIe IDE und Controller-IP. Ein weiteres wichtiges Element ist, dass die FIPS 140-3-Zertifizierung in der Branche immer wichtiger wird und durch einen Zertifizierungstestmodus unterstützt werden sollte.

CXL-Betrieb und -Unterstützung spiegeln die von PCIe wider. Dana enthält den Flow für PCIe und CXL, wenn IDE enthalten ist. Natürlich gibt es bei CXL aufgrund der drei unterstützten Protokolltypen einige Unterschiede. IP für die CXL-IDE muss Containment- und Skid-Modi sowie Ergänzungen für PCRC enthalten, wenn CXL.cache/mem ausgeführt wird. Dana erörtert auch die Vor- und Nachteile der Schlüsselverwaltung für die große Anzahl von Streams, die in einem Design betrieben werden können.

Dieses Webinar ist insofern umfassend, als es die Bedürfnisse und Anforderungen für PCIe- und CXL-Sicherheit in Cloud-Anwendungen erörtert. Es geht auch ausführlich auf die Komponenten, die Architektur und die zugehörigen Standards ein, die in Synopsys DesignWare IP unterstützt werden. Gegen Ende des Webinars zeigt Dana, wie mehrere verschiedene SOCs für KI oder Netzwerke weitgehend aus IP von Synopsys aufgebaut werden können. Das Webinar steht zur Wiederholung auf der zur Verfügung Synopsys-Website.

Teile diesen Beitrag über: Quelle: https://semiwiki.com/eda/306500-identity-and-data-encryption-for-pcie-and-cxl-security/