Szyfrowanie tożsamości i danych dla bezpieczeństwa PCIe i CXL

Prywatność i bezpieczeństwo zawsze były przedmiotem obaw, jeśli chodzi o przetwarzanie danych. W poprzednich dziesięcioleciach dla większości ludzi oznaczało to ochronę haseł i blokowanie komputera. Jednak obecnie coraz więcej użytkowników przechowuje wrażliwe dane w chmurze, gdzie należy je chronić w spoczynku i w ruchu. Podczas seminarium internetowego Synopsys Dana Neustadter, starszy menedżer ds. marketingu ds. zabezpieczeń własności intelektualnej, przytacza dane ze Skyhigh Networks, które pokazują, że aż 21% plików przesyłanych do usług udostępniania plików zawiera dane wrażliwe, takie jak dane medyczne, finansowe lub osobiste.

Choć wszyscy uważamy, że centra danych i związana z nimi infrastruktura są bezpieczne, jeśli kiedykolwiek oglądałeś film przedstawiający „tester penetracyjny”, przekonasz się, jak łatwo złym podmiotom może uzyskać fizyczny dostęp do niektórych witryn. Jeśli chcesz zobaczyć jeden z tych filmów, wyszukaj „tester pióra” na Youtube. Na szczęście branża reaguje na ten problem, dodając zabezpieczenia do specyfikacji takich jak PCIe i CXL (Computer eXpress Link). Dodatki te w dużym stopniu przyczyniają się do spełnienia wymagań nowych przepisów i regulacji, które tworzą wymagania dotyczące bezpieczeństwa systemu tam, gdzie znajdują się wrażliwe dane.

Bezpieczeństwo danych w ruchu w PCIe i CXL zależy oczywiście od odpowiedniego bezpieczeństwa chipów w SOC. Zaufane środowisko wykonawcze powinno zapewniać bezpieczeństwo włączania, działania i wyłączania za pośrednictwem sprzętowego modułu zabezpieczeń (HSM). Prawdziwym kluczem do bezpieczeństwa PCIe i CXL jest dodanie komponentu Integrity and Data Encryption (IDE). Podczas seminarium internetowego Synopsys Dana szczegółowo opisuje funkcje i działanie IDE w połączeniu z uwierzytelnianiem i zarządzaniem kluczami. Specyfikacje PCIe 5.0/6.0 i CXL 2.0/3.0 wymagają tej dodatkowej funkcjonalności, aby zapewnić większe bezpieczeństwo.

IDE ma znajdować się w warstwie transakcyjnej PCIe. Jest to krytyczny aspekt projektu, ponieważ chociaż dodatkowe bezpieczeństwo jest wymogiem zasadniczym, musi mieć minimalny wpływ na opóźnienia i wydajność. W tej chwili specyfikacje pozwalają na IDE w obsłudze strumieni TLP. Tryb FLIT zostanie uwzględniony w wersji PCIe 6.0. Pakiety są chronione przez AES-GCM z 256-bitowymi kluczami i 96-bitowymi znacznikami MAC. Idealnie byłoby, gdyby dodanie IDE było typu plug and play i tak jest w przypadku Synopsys PCIe IDE i IP kontrolera. Kolejnym ważnym elementem jest to, że certyfikacja FIPS 140-3 staje się coraz ważniejsza w branży i powinna być wspierana poprzez tryb testów certyfikacyjnych.

Działanie i obsługa CXL odzwierciedlają działanie PCIe. Dana obejmuje przepływ zarówno dla PCIe, jak i CXL, jeśli dołączone jest IDE. Oczywiście w przypadku CXL istnieją pewne różnice ze względu na trzy typy obsługiwanych protokołów. Adres IP dla CXL IDE musi obejmować tryby przechowywania i poślizgu oraz dodatki dla PCRC podczas uruchamiania CXL.cache/mem. Dana omawia także tajniki zarządzania kluczami w przypadku dużej liczby strumieni, które mogą działać w projekcie.

To webinarium ma charakter kompleksowy, ponieważ omawia potrzeby i wymagania dotyczące bezpieczeństwa PCIe i CXL w aplikacjach chmurowych. Omówiono także szczegółowo komponenty, architekturę i powiązane standardy obsługiwane w Synopsys DesignWare IP. Pod koniec seminarium internetowego Dana pokazuje, jak można zbudować kilka różnych SOC dla sztucznej inteligencji lub sieci, w dużej mierze z protokołu IP dostępnego w Synopsys. Webinar jest dostępny do odtworzenia na stronie Strona internetowa firmy Synopsys.

Udostępnij ten post przez: Źródło: https://semiwiki.com/eda/306500-identity-and-data-encryption-for-pcie-and-cxl-security/