HotChips 2019 Hardware-Security für Intels Server-CPUs - made in China

Für seine Rechenzentren vertraut die chinesische Regierung den Server-Prozessoren von Intel nicht.

Für seine Rechenzentren vertraut die chinesische Regierung den Server-Prozessoren von Intel nicht. Da man (noch) keine ähnlich performanten CPUs im Land hat, wurden auf Basis von Xeon-PCs eigene „Jintide“ genannte Produkte entwickelt, deren bislang unbekannte technische Details enthüllt wurden.

Der Design-Flow einer CPU vom Schlag Xeon ist komplex und die Produktion eines modernen Chips geht durch viele Länder. Es gibt keine Möglichkeit zu sagen, ob es am Ende irgendwelche ungewünschten Änderungen am Chip gibt, also will China die Chips überwachen. Es ist fast unmöglich zu beweisen, dass ein Chip zu 100 % sicher ist. Die einzige Möglichkeit, das Problem zu beheben, ist die Laufzeitüberwachung in Echtzeit, um sicherzustellen, dass die Chips nicht durch welche Attacken auch immer gefährdet werden.

Aus dieser Erkenntnis heraus unterhält Intel schon seit vielen Jahren eine Partnerschaft mit der Tsinghua University, von der seit langem bekannt ist, dass sie von der chinesischen Regierung stark beeinflusst wird, und der Firma Montage Technology Global Holdings, einem chinesischen Serveranbieter. Vor drei Jahren entwickelte das Unternehmen einige Tracking-Chips, die das Verhalten der primären CPU überprüfen können. Sie verfolgen das System- und CPU-Verhalten und stellen sicher, dass es den Erwartungen entspricht. Dies wird als dynamische Sicherheitsüberprüfung bezeichnet. Ein Co-Prozessors, der mit den Xeon-CPUs von Intel verbunden ist, stellt weiterhin von China zugelassene Verschlüsselungs-/Entschlüsselungstechnologien bereit. Diese beiden Lösungen sind in einem einzigen "Jintide" genannten Package mit der Xeon-CPU zusammengefasst.

Angesichts des anhaltenden Handelskrieges zwischen den USA und China, der die US-Regierung dazu veranlasst, Joint Ventures mit chinesischen Interessen zu verbieten (wie das Verbot des JV von AMD), kam die Präsentation auf der Hotchips-Konferenz natürlich zu einem seltsamen Zeitpunkt.

Die Basisplattform besteht aus einer Standard-Serverplattform. Die Tracking-Chips überwachen die CPU, den Speicher und alle I/Os, die in den Server ein- und auslaufen. Die einzige Möglichkeit, die Hardware korrekt zu tracken, besteht darin, sie auf der Hardwareebene zu verfolgen. Software wird nicht funktionieren.

Das System kann „gutes“ Verhalten erkennen, unbedenkliches Verhalten ignorieren und dennoch verdächtiges Verhalten melden. Es war den Designern wichtig, die Rechenleistung zu erhalten, weshalb die Reduzierung des Overheads für den Tracing-Prozess ein vorrangiges Ziel war.

Dies geschieht mit drei Chips (fabriziert auf 28nm bei TSMC). Der MTR (Memory Tracing Chip) verfolgt die Speicherpuffer, und ITR- und RCP-Chips verfolgen den Prozessor und andere I/Os. Eine spezielle Firmware übernimmt auch die Überprüfung und Verfolgung.Der Xeon wird mit 2.0 GHz  getaktet, hat 24 Cores und nimmt 95-150 W auf.  Die Pinbelegung ist fast die gleiche wie bei einem normalen Skylake.

Das MCP dient auch als Vertrauensbasis für das System.  Es erkennt und identifiziert auch alle mit dem Server verbundenen Geräte. Das System bietet auch Verschlüsselungsfunktionen über die Jintide Open API, die in einem benutzerdefinierten Hypervisor ausgeführt wird, der ebenfalls im System installiert werden muss.

Der durchschnittliche Performanceverlust liegt aufgrund der Überwachung auf dem Server bei weniger als 10%.  Beispiele für den Nutzen sind die Erkennung eines Trojaners durch das System und ein weiteres Beispiel für die Erkennung von Schwachstellen. Hier wurde der Seitenkanalangriff „Spectre“ als Beispiel herangezogen. Das Unternehmen glaubt, dass es durch die Erweiterung seines Modells sogar mikroarchitektonische Schwachstellen finden könnte.

Die Jintide-Prozessoren sind weitgehend darauf ausgelegt, das Verhalten des Servers zu verfolgen, um sicherzustellen, dass sie nicht kompromittiert werden, und die benutzerdefinierten Chips, die das Unternehmen entwickelt hat, können dies mit einem Minimum an Performanceverlust tun.

In der Bilderstrecke sind die technischen Folien der Präsentation abgebildet.

Noch eine Schlussbemerkung: Es ist bemerkenswert, dass diese Server nur in China verkauft werden – denn man darf sich natürlich die Frage stellen, warum die aufgezeigten generellen Probleme eigentlich nicht auch für andere Anwender und Regierungen relevant sein sollen.

Bilder: 17

Jintide : Eine Server-CPU mit Hardware-Security

Mit Tracking-Chips, die das Verhalten der primären Xeon-CPU überprüfen, wird eine dynamische Sicherheitsüberprüfung vorgenommen.