Chiffrement des identités et des données pour la sécurité PCIe et CXL

La confidentialité et la sécurité ont toujours été une préoccupation en matière d'informatique. Au cours des décennies précédentes, pour la plupart des gens, cela signifiait protéger les mots de passe et verrouiller votre ordinateur. Cependant, aujourd'hui, de plus en plus d'utilisateurs stockent des données sensibles dans le cloud, où elles doivent être protégées au repos et en mouvement. Dans un webinaire Synopsys, Dana Neustadter, Senior Marketing Manager for Security IP, cite des chiffres de Skyhigh Networks qui montrent que jusqu'à 21 % des fichiers téléchargés sur les services de partage de fichiers contiennent des données sensibles, telles que des informations médicales, financières ou personnelles.

Bien que nous ayons tous le sentiment que les centres de données et les infrastructures connexes sont sécurisés, si vous avez déjà regardé une vidéo d'un "testeur d'intrusion", vous verrez à quel point il est facile pour les mauvais acteurs d'accéder physiquement à certains sites. Si vous voulez voir l'une de ces vidéos, recherchez "testeur de stylo" sur Youtube. Heureusement, l'industrie réagit à ce problème en ajoutant de la sécurité à des spécifications telles que PCIe et CXL (Computer eXpress Link). Ces ajouts contribuent grandement à répondre aux exigences des nouvelles lois et réglementations qui créent des exigences en matière de sécurité du système là où se trouvent des données sensibles.

La sécurité des données en mouvement dans PCIe et CXL dépend bien sûr de la bonne sécurité de la puce au sein des SOC. Un environnement d'exécution fiable doit offrir une sécurité à la mise sous tension, à l'exécution et à l'arrêt, via un module de sécurité matériel (HSM). La véritable clé de la sécurité PCIe et CXL est l'ajout d'un composant Integrity and Data Encryption (IDE). Dans le webinaire Synopsys, Dana décrit en détail la fonction et le fonctionnement d'un IDE en conjonction avec l'authentification et la gestion des clés. Les spécifications PCIe 5.0/6.0 et CXL 2.0/3.0 exigent cette fonctionnalité supplémentaire pour offrir une sécurité accrue.

L'IDE est destiné à s'asseoir dans la couche de transaction PCIe. Il s'agit d'un aspect essentiel de la conception, car si une sécurité accrue est une exigence essentielle, elle doit avoir un impact minimal sur la latence et les performances. À l'heure actuelle, les spécifications autorisent les IDE dans la gestion des flux TLP. Le mode FLIT sera inclus dans la version PCIe 6.0. Les paquets sont protégés par AES-GCM avec des clés 256 bits et des balises MAC 96 bits. Idéalement, l'ajout d'IDE devrait être plug and play, et c'est le cas pour l'IDE Synopsys PCIe et l'IP du contrôleur. Un autre élément important est que la certification FIPS 140-3 devient importante dans l'industrie et devrait être soutenue par un mode de test de certification.

Le fonctionnement et la prise en charge de CXL reflètent ceux de PCIe. Dana inclut le flux pour PCIe et CXL lorsque IDE est inclus. Bien sûr, avec CXL, il existe quelques différences en raison des trois types de protocoles qu'il prend en charge. L'adresse IP de l'IDE CXL doit inclure les modes de confinement et de dérapage, ainsi que des ajouts pour PCRC lors de l'exécution de CXL.cache/mem. Dana discute également des tenants et aboutissants de la gestion des clés pour le grand nombre de flux qui peuvent fonctionner dans une conception.

Ce webinaire est complet en ce sens qu'il aborde les besoins et les exigences en matière de sécurité PCIe et CXL dans les applications cloud. Il approfondit également les composants, l'architecture et les normes associées qui sont pris en charge dans Synopsys DesignWare IP. Vers la fin du webinaire, Dana montre comment plusieurs SOC différents pour l'IA ou la mise en réseau peuvent être construits en grande partie à partir de l'IP disponible auprès de Synopsys. Le webinaire est disponible en replay sur le Site Web Synopsis.

Partagez cet article via: Source : https://semiwiki.com/eda/306500-identity-and-data-encryption-for-pcie-and-cxl-security/