Intel deve seguir AMD e lançar CPU com criptografia de memória
AMD já tem chips com criptografia de memória total; em breve, será a vez da Intel
Durante apresentação na RSA Conference, a Intel revelou alguns de seus planos para a área de segurança. O mais notável deles é este: a companhia quer incrementar seus futuros processadores com criptografia de memória total. É um caminho já trilhado pela rival AMD.
Não que o assunto seja inédito para a Intel. Em 2014, a empresa anunciou as soluções Software Guard Extensions (SGX), que acabou aparecendo pela primeira vez no ano seguinte com os chips Skylake.
O que o SGX faz, basicamente, é proteger determinadas áreas da memória para impedir acesso não autorizado aos dados existentes ali. Para tanto, estes passam a ser criptografados e descriptografados apenas pela CPU.
Trata-se de uma forma de evitar, por exemplo, que uma vulnerabilidade no sistema operacional permita que um invasor acesse determinadas informações usando privilégios de administrador.
Mas há algumas limitações. Para começar, o SGX é uma solução proprietária da Intel, portanto, softwares que se beneficiam dele só podem ser executados em máquinas equipadas com determinados chips da companhia.
Além disso, o SGX é limitado a apenas uma parte da memória, de forma que os desenvolvedores precisam decidir com cuidado o que deve ser criptografado ou não. É necessário levar em conta também que as soluções do tipo podem afetar o desempenho da aplicação.
Certamente, a Intel decidiu dar um passo adiante por conta dessas limitações. Com a criptografia de memória total, os dados existentes da RAM poderão ser criptografados e descriptografados no nível do hardware, pela CPU.
Na prática, a Intel estará habilitando alguns de seus processadores — a princípio, unidades para uso corporativo ou profissional — para trabalhar com o Total Memory Encryption (TME) ou a extensão deste, o Multi-Key Total Memory Encryption (MKTME), capaz de criptografar dados na memória com base no algoritmo AES em modo AES-XTS.
O tal modo considera o endereço físico dos dados, garantindo que cada bloco na memória seja criptografado com uma chave única. Com isso, o MKTME pode coibir ataques baseados em realocação de blocos, por exemplo. Outros benefícios incluem mitigação de ataques baseados em mapeamento do kernel e, claro, capacidade de criptografar todo o conteúdo da memória.
Nesse ponto, é impossível não lembrar da AMD. A companhia trabalha desde 2016 com o Secure Memory Encryption (SME) em chips Epyc. Essa tecnologia permite que qualquer página da memória seja criptografada no nível do hardware com chave AES de 128 bits e possibilita que toda a memória seja usada para esse fim.
Ainda não há informação sobre quando a Intel lançará processadores com criptografia de memória total, mas dá para esperar em algo para breve. No ano passado, a companhia liberou atualizações que permitem que o kernel Linux trabalhe com TME e MKTME. Ficou faltando o óbvio: lançar processadores compatíveis.
Com informações: Ars Technica.
