鐵之狂傲
標題:
安全的雙刃劍,AMD選擇Trust Zone一事之分析
[列印本頁]
作者:
CANCERS
時間:
12-8-23 08:41
標題:
安全的雙刃劍,AMD選擇Trust Zone一事之分析
從年初的財務分析師會議開始就不斷有AMD與ARM合作,甚至採用ARM授權進軍移動處理器市場的傳聞,而在6月份的AFDS大會上,ARM不僅參與了AMD的
HSA基金會
,它與AMD曖昧不明的關係也得到確認,不過跟大家想象中的不太一樣。
AMD確實從ARM那裡獲得了IP授權應用到未來的APU產品中,不過並非完整的Cortex系列,而是TrustZone安全技術。從2004年的Cortex-A5架構首次應用以來,ARM的Trust Zone技術在數據保護應用如DRM、網路安全支付等方面已經久經考驗。
Planet3D
今天帶來了一篇有關AMD使用Trust Zone技術的分析文章,除了介紹這一技術的應用原理之外還包括AMD為什麼選擇Trust Zone以及面臨的市場競爭和機遇。
12-8-23 09:09 上傳
下載附件 (點選圖片檢視原圖)
(41.04 KB)
看AMD的PPT宣傳,他們原來的工作方式是垂直的,從下到上分別是晶片-平台-軟體-服務,現在則是水準的,CPU-GPU-第三方IP內核。不過要吐槽一下,這種PPT也就是做給投資人看的,實在理解不了多了一個第三方授權怎麼就會有這麼大的轉變?
回到正題,看一下Trust Zone的組成及原理。
12-8-23 09:09 上傳
下載附件 (點選圖片檢視原圖)
(105.71 KB)
Trust Zone架構設計
Trust Zone有兩種工作模式,一種是正常模式(Normal World),可以執行富指令,稱為REE環境(Rich Execution Environment),另一種模式就是安全模式(secure world),只能執行受信指令,成為TEE環境(Trusted Execution Environment)。
12-8-23 09:09 上傳
下載附件 (點選圖片檢視原圖)
(71.08 KB)
Trust Zone示意圖
這兩種模式都是整合在一個內核中的,很容易讓人聯想起類似Intel HT超執行緒技術,而實際上Trust Zone並不是雙執行緒並行或者同步運行,它只有一個執行緒,只是根據不同的需要在兩種模式中簡單切換而已,情況跟單核同時運行多任務相似,上網的同時也可以看視訊,就是這個樣子。
其他必須條件
12-8-23 09:09 上傳
下載附件 (點選圖片檢視原圖)
(56.04 KB)
要想完整的實現Trust Zone還必須有其他條件配合,首先是Trust Zone硬體,也就是類似Cortex-A5這樣的處理器,然後就是配套的系統軟體,這也是最關鍵的部分,主要有兩家廠商在做。
一家是德國慕尼黑市的Giesecke & Devrient公司的
MobiCore
,另一家則是荷蘭Trusted Logic Mobility公司的
Trusted Execution Environment
。
12-8-23 09:09 上傳
下載附件 (點選圖片檢視原圖)
(104.61 KB)
按照ARM的說法,具備這些條件之後只需要三步就可以構建Trust Zone的TEE安全環境了。
Coretex-A5:整合的藝術
12-8-23 09:09 上傳
下載附件 (點選圖片檢視原圖)
(97.53 KB)
說了這麼多,要想實現Trust Zone安全技術最重要的就是要有一顆Trust Zone內核,直接的方案就是整合一個Cortex-A5內核,因為它不僅支援ARM的安全技術,而且晶片規模非常小,40nm工藝製造的A5內核不算L2快取在內的核心面積只有1mm ²,幾乎對APU的核心面積沒有影響。
看ARM自己的介紹,Intel要想製造出45nm工藝生產的Cortex-A5同樣面積的Atom晶片,至少需要15nm工藝才行。
Trust Zone的背景技術就介紹這麼多,對AMD來說,它們取得授權的Cortex-A5雖然是一顆完成的ARM處理器,但是APU的主要功能還是要靠AMD的X86架構來完成,Cortex-A5隻用作安全處理器,不能執行ARM代碼。
面臨的市場競爭
AMD主要的競爭還是來自Intel,後者在Sandy Bridge架構上引入了一種名為IPT(Identity Protection Technology,認證協議技術)的安全解決方案,現在已經得到了Steam-Portal以及萬事達卡這樣的客戶。
不過AMD並非沒有機會,Intel的IPT方案相比ARM的Trust Zone技術還是很簡單的,AMD/ARM還有技術上的優勢。
產品安排
首款整合ARM Trust Zone技術的APU將在2013年問世,首先是架構代號Kabibi的Zacate E系列處理器,主要針對一般入門級市場。到了2014年,AMD就會把Trust Zone技術擴充到整個產品綫中。
不確定的問題
一個不確定的問題就是使用者如何控制它的電腦,假設在最壞的情況下,可能的安全方案不起作用了,有些人是不是有可能通過ARM內核進而控制整個電腦,再像情報部門那樣留下後門?這依然是個值得考慮的問題。
Windows 8的影響
影響AMD選擇Trust Zone授權還有一個可能就是Windows 8系統,因為後者同時支援X86和ARM架構,也就是原生支援Trust Zone技術,微軟以NVIDIA公司的ARM處理器做了個
demo演示
,感興趣的不妨看看。
總結
晶片安全技術不止Trust Zone一種,還有TPM可信賴模組技術,不過它不支援ARM平台。許多人對Trust Zone技術感到高興,畢竟增加安全技術並不是什麼壞事。有人花錢買了一台平板電腦就以為可以用它來做自己想做的事,這不過是使用者自己的感覺,在最壞的情況下,廠商可以借助Trust Zone技術做許多硬體限制,一個明顯的例子就是軟體安裝限制,就跟遊戲主機上的限制類似。
總的來說,Trust Zone對廠商來說很重要,但是使用者獲得的利益值得商榷,希望我們至少有機會禁用Trust Zone選項。
PS:隨着Win8平板原生支援Trust Zone技術,AMD也不得不選擇這一授權,不然可能連進入平板電腦處理器市場的機會都沒有。
看完全文感覺P3D對Trust Zone並不喜歡,當然對廠商來說這很重要,畢竟可以借它來實現很多限制以維護自己的利益。這項技術看起來就像是一把雙刃劍,不知道使用者的利益在哪裡。
歡迎光臨 鐵之狂傲 (https://gamez.com.tw/)
