Cifrado de identidad y datos para seguridad PCIe y CXL

La privacidad y la seguridad siempre han sido una preocupación cuando se trata de informática. En décadas anteriores, para la mayoría de las personas esto significaba proteger las contraseñas y bloquear la computadora. Sin embargo, hoy en día, cada vez más usuarios almacenan datos confidenciales en la nube, donde deben protegerse en reposo y en movimiento. En un seminario web de Synopsys, Dana Neustadter, gerente sénior de marketing para IP de seguridad, cita cifras de Skyhigh Networks que muestran que hasta el 21 % de los archivos cargados en los servicios de intercambio de archivos contienen datos confidenciales, como información médica, financiera o personal.

Si bien todos sentimos que los centros de datos y la infraestructura relacionada son seguros, si alguna vez ha visto un video de un "probador de penetración", verá lo fácil que es para los malos acceder físicamente a algunos sitios. Si desea ver uno de estos videos, busque "pen tester" en Youtube. Afortunadamente, la industria está respondiendo a este problema agregando seguridad a especificaciones como PCIe y CXL (Computer eXpress Link). Estas adiciones contribuyen en gran medida a cumplir con los requisitos de las nuevas leyes y reglamentos que están creando requisitos para la seguridad del sistema donde hay datos confidenciales.

La seguridad de los datos en movimiento en PCIe y CXL, por supuesto, depende de la seguridad adecuada del chip dentro de los SOC. Un entorno de ejecución confiable debe ofrecer seguridad de encendido, tiempo de ejecución y apagado a través de un módulo de seguridad de hardware (HSM). La clave real para la seguridad de PCIe y CXL es la adición de un componente de integridad y cifrado de datos (IDE). En el seminario web de Synopsys, Dana hace un trabajo minucioso al describir la función y el funcionamiento de un IDE junto con la autenticación y la administración de claves. Las especificaciones PCIe 5.0/6.0 y CXL 2.0/3.0 requieren esta funcionalidad adicional para brindar una mayor seguridad.

El IDE está diseñado para ubicarse dentro de la capa de transacciones PCIe. Este es un aspecto crítico del diseño, porque si bien la seguridad adicional es un requisito esencial, debe tener un impacto mínimo en la latencia y el rendimiento. En este momento, las especificaciones permiten IDE en el manejo de flujos TLP. El modo FLIT se incluirá en la versión PCIe 6.0. Los paquetes están protegidos por AES-GCM con claves de 256 bits y etiquetas MAC de 96 bits. Idealmente, la adición de IDE debería ser plug and play, y este es el caso de Synopsys PCIe IDE y Controller IP. Otro elemento importante es que la certificación FIPS 140-3 se está volviendo importante en la industria y debe respaldarse a través de un modo de prueba de certificación.

El funcionamiento y el soporte de CXL reflejan el de PCIe. Dana incluye el flujo para PCIe y CXL cuando se incluye IDE. Por supuesto, con CXL existen algunas diferencias debido a los tres tipos de protocolos que admite. La IP para el IDE de CXL debe incluir modos de contención y deslizamiento, y adiciones para PCRC cuando se ejecuta CXL.cache/mem. Dana también analiza los entresijos de la administración de claves para la gran cantidad de flujos que pueden operar en un diseño.

Este seminario web es completo porque analiza las necesidades y los requisitos de seguridad PCIe y CXL en aplicaciones en la nube. También profundiza en los componentes, la arquitectura y los estándares relacionados que son compatibles con Synopsys DesignWare IP. Cerca de la conclusión del seminario web, Dana muestra cómo se pueden construir varios SOC diferentes para IA o redes en gran parte a partir de IP disponible en Synopsys. El seminario web está disponible para su reproducción en el Sitio web de sinopsis.

Comparte esta publicación a través de: Fuente: https://semiwiki.com/eda/306500-identity-and-data-encryption-for-pcie-and-cxl-security/