文章探讨了KPCPU在首批可信计算认证中的缺失,原因在于其原生可信方案未达到增强级要求。文章分析了KP的技术局限,强调了国产芯片厂商在信息安全领域的责任。
最近又挖到一剂猛料,而且还是信创领域难以回避的可信计算。
先简单介绍一下,可信计算技术是应对网络威胁、保护系统安全的有效手段。自网络安全法实施以来,可信计算技术已成为合规性刚需,受到越来越多国内企业、社区以及科研机构的关注。
根据《网络安全法》第二十一条,国家实行网络安全等级保护制度,应当按照网络安全等级保护制度的要求,履行下列安全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。而等保2.0强化了可信计算技术使用的要求,把可信验证列入了“安全通信网络”、“安全区域边界”以及“安全计算环境”各个环节的验证要求。
查阅了下首批可信计算认证产品情况,有14款可信计算产品检测顺利通过专家评审并获颁证书。其中主要是基于飞腾CPU+可信华秦PCI-E可信根、以及基于海光CPU内置可信根的可信服务器和可信网安产品,还有一款基于津逮CPU内置可信根的可信服务器。14款可信产品详情如下表:
有没有发现一个问题,14款可信产品中居然没有一款是基于KP CPU的!这让人十分意外且困惑。
是因为KP不关注安全吗?显然不是,无论是可信计算还是机密计算,KP都在大力宣传其安全机制以及解决方案。而且这是国内可信计算领域最权威、最官方的认证,想必KP也不会错失机会。
那KP为何榜上无名?带着这个问题,我针对KP的可信计算技术原理以及上述可信认证内容及范围做了大量的调研,现将调研结果跟大家分享一下。
先说结论吧:首批可信计算认证产品中没有基于KP的产品,是因为KP原生的可信方案达不到增强级要求。可能有些难以置信,我们从技术角度解释一下这个事情。
上述认证是基于沈昌祥院士提出的TPCM(可信平台控制模块)标准进行,也就是大家耳熟能详的“可信计算3.0”技术。业内都知道,沈院士对于可信计算技术发展的贡献巨大,一方面将传统的计算系统扩展为计算系统+防护系统并行双系统架构,并且防护系统有着独立的资源以及更高的权限;另一方面,他将TPM的被动调用方式发展为防护系统对于计算系统的主动度量方式。具体如下图所示(引用自GB/T 40650-2021 可信平台控制模块):
若要将传统的计算系统扩展为计算+防护双系统,无非通过如下三种途径:
- 像龙芯(SE模块)一样,CPU体系结构原生支持异构安全域;
- 像飞腾的部分CPU型号,将一个同构计算核心改造为安全核心(或者管理核心);
- 改造主板,增加TPCM卡,并赋予TPCM卡高优先级,比如通过改造电源模块实现TPCM卡上电优先启动等等。
显然,KP架构不具备龙芯那样的异构安全域,又不愿意承担像飞腾那样的CPU改造成本,还不愿接受主板的差异化定制和维护成本,仅仅尝试了两种相对取巧的方式:
- 将TPCM卡作为一个简单的PCIe从设备插在主板上,没有通过改造主板设计赋予TPCM模块高优先级;
- 将TPCM模块实现在BMC中,在BMC中实现对计算系统的度量。
毫不客气的说,方案一徒有其表,完全不符合TPCM要求。方案二问题也很大,首先,BMC也是一个相对复杂的系统,已无法形式验证其可靠性,因此不应作为可信根;另外,这种方案仅在上电冷启动时可以实现启动度量,热重启时启动度量过程被绕过,存在巨大安全风险。
基于上述原因,专家组评估后一致认为KP的可信机制仅满足基础级要求,无法达到增强级强度,这也是KP CPU无缘首批可信计算认证产品的原因。
补充一句,后续第二批、第三批可信认证产品中开始出现KP的身影。但是细加研究一下不难发现,其中还是以基础级为主,少量经过主板改造的获得了增强级资质。这里加个提醒,客户在选购KP服务器时务必仔细区分,等保三级或以上系统应选用增强级可信产品,基于KP原生可信机制的基础级产品显然是不满足要求的。
最后还是想说一句,可信计算安全机制几乎是保护信息系统的最后一道防线,无论出于什么原因,都不应该在这方面投机取巧或者弄虚作假。国产芯片厂商享受着信创政策的红利,也应当展现应有的担当,对产品负责,对用户负责。
644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
