鸡西信息港

当前位置:

安全双刃剑分析AMD选择TrustZon

2019/04/11 来源:鸡西信息港

导读

从年初的财务分析师会议开始就不断有AMD与ARM合作,甚至采用ARM授权进军移动处理器市场的传闻,而在6月份的AFDS大会上,ARM不仅参与

从年初的财务分析师会议开始就不断有AMD与ARM合作,甚至采用ARM授权进军移动处理器市场的传闻,而在6月份的AFDS大会上,ARM不仅参与了AMD的HSA基金会,它与AMD暧昧不明的关系也得到确认,不过跟大家想象中的不太一样。

AMD确实从ARM那里获得了IP授权应用到未来的APU产品中,不过并非完整的Cortex系列,而是TrustZone安全技术躺椅价格
。从2004年的Cortex-A5架构首次应用以来,ARM的Trust Zone技术在数据保护应用如DRM、络安全支付等方面已经久经考验。

Planet3D今天带来了一篇有关AMD使用Trust Zone技术的分析文章,除了介绍这一技术的应用原理之外还包括AMD为什么选择Trust Zone以及面临的市场竞争和机遇。

看AMD的PPT宣传,他们原来的工作方式是垂直的,从下到上分别是芯片-平台-软件-服务,现在则是水平的,CPU-GPU-第三方IP内核。不过要吐槽一下,这种PPT也就是做给投资人看的,实在理解不了多了一个第三方授权怎么就会有这么大的转变?

回到正题,看一下Trust Zone的组成及原理。

▲Trust Zone架构设计

Trust Zone有两种工作模式,一种是正常模式(Normal World),可以执行富指令,称为REE环境(Rich Execution Environment),另一种模式就是安全模式(secure world),只能执行受信指令,成为TEE环境(Trusted Execution Environment)。

▲Trust Zone示意图

这两种模式都是集成在一个内核中的,很容易让人联想起类似Intel HT超线程技术,而实际上Trust Zone并不是双线程并行或者同步运行,它只有一个线程,只是根据不同的需要在两种模式中简单切换而已,情况跟单核同时运行多任务相似,上的同时也可以看视频,就是这个样子。

其他必须条件

要想完整的实现Trust Zone还必须有其他条件配合,首先是Trust Zone硬件,也就是类似Cortex-A5这样的处理器,然后就是配套的系统软件,这也是关键的部分,主要有两家厂商在做。

一家是德国慕尼黑市的Giesecke Devrient公司的MobiCore,另一家则是荷兰Trusted Logic Mobility公司的Trusted Execution Environment。

按照ARM的说法,具备这些条件之后只需要三步就可以构建Trust Zone的TEE安全环境了。

Coretex-A5:集成的艺术 说了这么多,要想实现Trust Zone安全技术重要的就是要有一颗Trust Zone内核,直接的方案就是集成一个Cortex-A5内核,因为它不仅支持ARM的安全技术,而且芯片规模非常小,40nm工艺制造的A5内核不算L2缓存在内的核心面积只有1mm ,几乎对APU的核心面积没有影响。

看ARM自己的介绍,Intel要想制造出45nm工艺生产的Cortex-A5同样面积的Atom芯片,至少需要15nm工艺才行。

Trust Zone的背景技术就介绍这么多,对AMD来说,它们取得授权的Cortex-A5虽然是一颗完成的ARM处理器,但是APU的主要功能还是要靠AMD的X86架构来完成,Cortex-A5只用作安全处理器,不能执行ARM代码。

面临的市场竞争

AMD主要的竞争还是来自Intel,后者在Sandy Bridge架构上引入了一种名为IPT(Identity Protection Technology,认证协议技术)的安全解决方案,现在已经得到了Steam-Portal以及万事达卡这样的客户。

不过AMD并非没有机会,Intel的IPT方案相比ARM的Trust Zone技术还是很简单的,AMD/ARM还有技术上的优势。

产品安排

集成ARM Trust Zone技术的APU将在2013年问世,首先是架构代号Kabibi的Zacate E系列处理器,主要面向低端入门级市场锥形瓶
。到了2014年,AMD就会把Trust Zone技术扩展到整个产品线中。

不确定的问题

一个不确定的问题就是用户如何控制它的电脑,假设在坏的情况下,可能的安全方案不起作用了,有些人是不是有可能通过ARM内核进而控制整个电脑,再像情报部门那样留下后门?这依然是个值得考虑的问题。

Windows 8的影响

影响AMD选择Trust Zone授权还有一个可能就是Windows 8系统,因为后者同时支持X86和ARM架构熊掌木
,也就是原生支持Trust Zone技术,微软以NVIDIA公司的ARM处理器做了个demo演示,感兴趣的不妨看看。

总结:芯片安全技术不止Trust Zone一种,还有TPM可信赖模块技术,不过它不支持ARM平台。许多人对Trust Zone技术感到高兴,毕竟增加安全技术并不是什么坏事。有人花钱买了一台平板电脑就以为可以用它来做自己想做的事,这不过是用户自己的感觉,在坏的情况下,厂商可以借助Trust Zone技术做许多硬件限制,一个明显的例子就是软件安装限制,就跟游戏主机上的限制类似。

总的来说,Trust Zone对厂商来说很重要,但是用户获得的利益值得商榷,希望我们至少有机会禁用Trust Zone选项。

PS:随着Win8平板原生支持Trust Zone技术,AMD也不得不选择这一授权,不然可能连进入平板电脑处理器市场的机会都没有。

看完全文感觉P3D对Trust Zone并不喜欢,当然对厂商来说这很重要,毕竟可以借它来实现很多限制以维护自己的利益。这项技术看起来就像是一把双刃剑,不知道用户的利益在哪里。

标签