V budoucích APU od AMD se bude nacházet bezpečnostní koprocesor ARM

14. 6. 2012

Sdílet

 Autor: Redakce

Že se AMD v tvrdém konkurenčním boji s polovodičovým obrem Intelem uchýlí k architektuře ARM, prorokoval v poslední době kdekdo. AMD nyní skutečně oznámilo, že si od společnosti ARM licencuje technologie i procesorové jádro. Přesto však ve skutečnosti prorokům sklaplo, žádné opuštění architektury x86 se nekoná. Procesory AMD sice dostanou jádro ARM Cortex-A5, věc je ale složitější. To, co si AMD licencovalo, je totiž především bezpečnostní technologie.

Předmětem licence je rozšíření TrustZone. AMD v něm získává alternativu k bezpečnostním technologiím, jimž disponuje Intel, tedy zejména rozšíření Intel TXT (Trusted Execution Technology). Hlavní úlohou obou technologií je zejména posílit bezpečnost a kontrolu nad počítači ve firemní sféře, mají však význam i obecně při zabezpečení systému před škodlivým kódem.

Logo společnsoti AMD

Jelikož technologie je do velké míry součástí procesorové architektury ARM, bude AMD muset do svých procesorů integrovat licenční jádro ARM. Alespoň ze začátku tak bude součástí procesorů s technologií TrustZone procesor Cortex-A5. Ten bude v systému zastávat roli bezpečnostního koprocesoru, zatímco jádra x86 dále zůstanou hlavním procesorem systému. Přítomnost tohoto jádra v budoucích produktech AMD tisková zpráva zmiňuje poněkud letmo. Buď ještě není o detailech definitivně rozhodnuto, nebo společnost nechce příliš provokovat k uštěpačným hodnocením.

Schéma procesoru Cortex-A5 (Zdroj: ARM)

První produkty podporující TrustZone bude mít AMD údajně již v příštím roce. Půjde o neupřesněné modely procesorů typu APU.  V následujícím roce (tedy 2014) by se pak technologie měla rozšířit do dalších produktů. Pravděpodobné je i nasazení v serverech, kde by TrustZone měla přispět k vyšší ochraně před napadením.

Byť se může zdát, že tento krok AMD zvýší náklady a podkope jeho postavení, opak může být pravdou. Vytvoření vlastní alternativy podobného bezpečnostního systému by si vyžádalo velké investice a mnoho času. Největším problémem by však bylo zajistit nové technologii softwarovou podporu. V případě TrustZone od ARMu AMD nemusí stavět na zelené louce a může se opřít o existující softwarová řešení, možná i včetně chystaného systému Windows 8.

Není mi známo, zda bude použití TrustZone přímo vyžadovat komunikaci s procesorem ARM. Pravděpodobnější je dle mého názoru, že přímo na tomto jádře poběží jen určitý firmware, a operační systém již bude s bezpečnostními funkcemi komunikovat nativní formou přes hlavní CPU architektury x86.

 

 

O technologii TrustZone
Trustzone je bezpečnostní technologie z oboru tzv. „trusted computingu,“ příbuzná virtualizaci či používání sandboxů. Slouží k posílení ochrany před instalací škodlivého softwaru do systému a k uchránění citlivých dat před neautorizovaným přístupem. Umožňuje, aby neautorizované aplikace (anebo uživatelé systému) nemohly získat například k šifrovací klíče a bezpečnostní certifikáty. Přitom však nebrání v jejich povoleném používání.

Trusted computing rozděluje prostředí počítače na privilegovanou a neprivilegovanou část. K privilegovaným prostředkům (může jít o služby operačního systému, nebo o přístup k hardwaru či zónám v operační paměti) dostává přístup jen ověřený kód. Po uschování citlivých složek systému do privilegované oblasti je možné v zbylém, neprivilegovaném prostředí bezpečně spouštět kód, který není plně důvěryhodný, aniž by hrozilo, že se dostane k citlivým informacím nebo že získá kontrolu nad systémem. Technologie dokáže přitom chránit privilegovaný prostor i před vlastním operačním systémem, tedy i před procesem se superuživatelskými právy.

Logo technologie TrustZone (Zdroj: ARM)

Schéma technologie TrustZone (Zdroj: ARM)

Na trusted computingu může být například postaven systém DRM. Brání totiž vyzrazení šifrovacích klíčů tak, že je po autentizaci zpřístupní například jen dekodéru a grafické kartě. Využití je však širší, a to zejména ve firemním prostředí. Vedle obecného posílení bezpečnosti systému umožňuje administrátorovi sledovat nežádoucí změny v počítačích, a to i na dálku.

ICTS24

Obecně tento systém dovoluje zamezit určitému nežádoucímu použití počítače. To má na jednu stranu nepříjemné důsledky pro ty uživatele, kteří by se systémem něco neautorizovaného rádi udělali. U chytrých telefonů může být přitom z hlediska výrobce nežádoucí i pouhé nahrazení firmwaru. Na stranu druhou však tato omezení uživatele také mohou ochránit před bezpečnostními hrozbami. Softwarovým útokům totiž mohou zabránit přímo na hardwarové úrovni.

Zdroj: AMD