Gracias a la incorporación de un “Procesador de seguridad” ARM en la micro arquitectura Zen, AMD se va a llevar el gato al agua en cuanto a las características integradas de seguridad en sus procesadores en comparación con Intel, pues a partir de ahora serán capaces de ofrecer una característica que podría convertirse en fundamental que, a día de hoy, Intel no puede ofrecer: cifrado de memoria.
La nueva generación de procesadores Zen podría significar mucho más que solo el resurgimiento de AMD en procesadores de sobremesa, pues características como estas son también muy importantes para el entorno empresarial. Se espera que Zen signifique el resurgir económico de AMD y esto no podría ser así solo en el entorno doméstico.
El procesador de seguridad de AMD
Vamos a intentar explicarlo de la manera más simple que podamos. Ya os hemos contado que los procesadores Zen contarán con un pequeño coprocesador ARM llamado “AMD Secure Processor”, y esencialmente su misión será la de permitir cifrado de los datos en cualquier punto de la cadena de trabajo, o en otras palabras, los datos ya no solo se cifran a nivel de disco, sino también a nivel de memoria.
El procesador funciona en dos frentes: SME (Secure Memory Encryption) y SEV (Secure Encrypted Virtualization), respaldado por un algoritmo SHA (Secure Hash Algorithm) por hardware. De acuerdo al white paper de AMD, SME funciona haciendo uso del procesador “Secure” de AMD para cifrar los datos en el momento en el que estos se escriben en la memoria DRAM. Esto es especialmente importante hoy en día dado el creciente uso de NVDIMM (memoria no volátil), pues si se dejara sin cifrar sería fácilmente clonada y accesible.
La clave de cifrado se genera de manera aleatoria por el procesador de seguridad cada vez que se arranca el sistema, y nunca será accesible por ningún software que funcione en los núcleos físicos del procesador (lo que da a entender que está totalmente aislado de estos). Por este motivo, AMD dice que el impacto de rendimiento de éste modo de seguridad es inapreciable, pues además indican que los datos cifrados no son todos, sino solo parte de cada bloque (y si no están en conjunto son inaccesibles, así que es suficiente).
Por otro lado, el sistema SEV soluciona el problema de los sistemas de seguridad en modo de anillo habituales, donde el código de los usuarios funciona con un nivel de privilegios inferior al del hypervisor en tornos virtuales. Esecialmente, esto significa que en una estructura de seguridad de anillo, el hypervisor puede acceder a los datos del cliente. SEV soluciona este problema pues aísla los recursos del cliente y los del hypervisor, haciendo que funcionen de manera independiente y eliminando así cualquier posibilidad de fuga de datos.
Todo esto son tecnologías que, al menos de momento, Intel no ha implementado y que AMD espera que les de una ventaja estratégica también en el sector profesional de procesadores.