AMD Zen处理器不但会在架构上全面飞跃,最新爆料显示,它还会支持全新的“内存加密”(memory encryption),可以让服务器尤其是云服务第一次获得全程软硬加密保护,而这一点即便Intel目前也没有做到。
AMD的这一技术来自与ARM合作之后打造的“AMD安全处理器”(AMD Security Processor),借助硬件SHA安全算法,支持安全内存加密(SME)、安全加密虚拟化(SEV)两种方式。
根据AMD官方白皮书,SME模式下,AMD安全处理器会在数据写入内存的时候,使用AES-128秘钥进行加密,而且每次系统重置后都随机生成新的秘钥,运行在CPU核心上的任何软件都不可能获取。
这将在整个系统中彻底告别明文数据,特别是在搭配NVDIMM非易失性内存的时候,未加密数据完全可以通过物理移除、克隆的方式进行窃取。
AMD表示,这种加密对系统性能尤其是内存延迟的影响非常小,而且安全处理器只会对特定的内存页面进行选择性加密,而不是加密全部已用内存。
SEV模式下,传统令牌加密系统中,虚拟机监视器(Hypervisor)泄密的问题将不复存在。监视器和运行在同一机器上的客户端资源、不同客户负载完全隔离,代码和数据将分别标记、独立加密,访问的时候如果加密标记错误,就只能看到加密状态。
虚拟机监视器必须与AMD安全处理器交互才能加密,并告知安全处理器有加密的虚拟机正在运行,由安全处理器载入合适的AES秘钥。
这些技术不会出现在消费级Zen平台上,但对于AMD重新夺取服务器市场,将有极大的帮助。
相关文章