Gerade Betreiber von Public Cloud-Services wie Google und Microsoft werden nach wie vor mit dem Vorurteil konfrontiert, ihre Dienste seien nicht sicher und Daten werden dort nicht ausreichend geschützt. Für ein Mehr an Sicherheit hat Intel mit der Produkteinführung des skalierbaren Intel Xeon Prozessors der 3. Generation neue Befehlssätze implementiert. Diese sorgen für das Verschlüsseln von (Cloud)daten, und das auf CPU-Ebene. Wie das funktioniert und was es bringt, steht in diesem Beitrag.
Mit den Krypto-Befehlssätzen, die mit dem skalierbaren Intel Xeon-Prozessor der der 3. Generation zur Verfügung stehen, lassen sich im Wesentlichen drei Bereiche adressieren: Public Key-Authentifizierung, Massenverschlüsselung (Bulk Cryptography) und Hashing. Damit finden die zugehörigen Funktionen direkt auf der CPU statt, und nicht, wie oft praktiziert, auf dedizierten Beschleunigerkarten wie GPUs und FGPAs. Was die Leistung des gesamten Systems deutlich verbessert.
[irp posts=“168611″ ]
Die zugehörigen Funktionen und Befehlssätze stellen sich wie folgt dar:
Die Public Key-Authentifizierung basiert auf den Algorithmen RSA, DH, ECDHE sowie ECDSA, und unterstützt zudem Multibuffer-Operationen. Damit lassen sich öffentliche Schlüssel bis zu achtmal schneller ver- und entschlüsseln als mit Software-basierten Verschlüsselungstechniken. Diese Art der (De-)Kodierung wird vor allem für das Absichern von SSL-Verbindungen und PKI-Infrastrukturen eingesetzt. Zum Einsatz kommt dabei unter anderem der Fused-Multiply-Add-Befehl VPMADD52.
Die Massenverschlüsselung (oder Bulk Kryptografie) fußt auf den Algorithmen AES-GCM, XTS, CTR und CBC. Diese sind Teil der neuen AES-basierten Befehlssätze Intel AES-NI und Vector CLMUL (Carry-Less-Multiplikation). Die zugehörigen Befehle sorgen für eine sichere Datenübertragung und Datenverschlüsselung, die bis zu viermal schneller ausgeführt werden als mit dem herkömmlichen Intel AVX-512-Befehlssatz.
Das Hashing basiert auf den Algorithmen SHA-1 und SHA-256. Diese kommen überall dort zum Einsatz, wo digitale Signaturen und Blockchain-Anwendungen im Vordergrund stehen. Damit lässt sich eine Verdreifachung der Hash-Leistung erzielen.
Software-Optimierungen sorgen für Hardware-basierte Sicherheit
Wie mit jedem speziellen Befehlssatz, ist es zwingend erforderlich, die jeweilige Anwendung für den bestmöglichen Einsatz an die kryptographischen Funktionen anzupassen. Die gute Nachricht: Zahlreiche Anwendungen bzw. Software-Plattformen von Microsoft, SAP, VMware und Oracle nutzen von Hause aus die neuen Krypto-Befehle.
Falls dem nicht so sein sollte, kann man sich bei den bekannten Open Source-Softwareanbietern umsehen. So unterstützen zahlreiche Linux-Distributionen die kryptografischen Befehlssätze des skalierbaren Intel Xeon-Prozessors der dritten Generation. Aber auch NGINX, HAProxy, WordPress, Envoy, Istio, Apache Kafka 2.3, sowie RocksDB sind bereits angepasst. Das gilt ebenfalls für Java Open JDK, die OpenSSL-Bibliothek 1.1.1g sowie die IPSec/IPP Multi-Buffer-Bibliotheken.
Für wen das nicht infrage kommt, kann seine eigenen Anwendungen fit machen für die kryptografischen Funktionen und Befehle. Hierfür ist lediglich das Crypto API Toolkit von Intel erforderlich. Damit lassen sich die entsprechende Befehle innerhalb von Intel SGX-basierten Enklaven direkt im Hauptspeicher ausführen – für noch mehr Sicherheit, die speziell für datensensitive Anwendungen erforderlich ist. Die digitale Patientenakte ist ein schönes Beispiel hierfür.
[irp posts=“160915″ ]
Cloud Service Provider profitieren von Intel Crypto
Cloud-Anbieter wie Kingsoft Cloud offerieren ihrer Kundschaft spezielle Dienste wie CDN (Content Deliver Network). Hierbei steht eine HTTPS-basierte Verschlüsselung im Vordergrund, die für sichere Verbindungen sorgt. Um möglichst viele, parallel stattfindende HTTPS-Anfragen beantworten zu können, hat sich Kingsoft Cloud für den skalierbaren Intel Xeon-Prozessor mit seinen kryptografischen Funktionen entschieden. Die Folge: Es stehen mehr als doppelt so viele HTTPS-Verbindungen gleichzeitig zur Verfügung, und das in Kombination mit einer leistungsfähigen Cloud-Plattform.
Interessant ist auch das Angebot von Bitnami, einem VMware-Unternehmen. Dort passen die Entwickler Open Source-Softwareprogramme an die bekannten Cloud-Plattformen wie AWS, Azure und Google Cloud an. Dazu zählt beispielsweise die Proxy-Software NGINX und das Content Management System WordPress, die beide die kryptografischen Funktionen des skalierbaren Intel Xeon Prozessors (3. Generation) nutzen.
Disclaimer: Für das Verfassen und Veröffentlichen dieses Blogbeitrags hat mich die Firma Intel beauftragt. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.