Cell: IBM pubblica informazioni relative all'architettura di sicurezza

Cell: IBM pubblica informazioni relative all'architettura di sicurezza

Un documento dettagliato di IBM illustra quali siano le principali tecniche di sicurezza progettate per il processore Cell, destinato alla console Playstation 3

di Andrea Bai pubblicata il , alle 08:19 nel canale Processori
IBMPlaystationSony
 

IBM ha rilasciato un documento molto dettagliato relativo all'architettura di sicurezza del Cell Broadband Engine. Si tratta di un meccanismo molto sofisticato che sottolinea come Cell, un processore destinato al mercato di massa, sia stato pensato da zero avendo come principale obiettivo la sicurezza.

In parole semplici (cercheremo di approfondire nel corso della trattazione) ciò che i progettisti di Cell hanno pensato è di demandare direttamente all'hardware tutte le operazioni relative alla protezione delle applicazioni. Normalmente, infatti, le applicazioni si devono affidare ad un'altra componente software (sistema operativo o macchine virtuali di supervisione) che assicuri la protezione schermandole dagli attacchi di altro software malevolo. Chiaramente il problema fondamentale di questo tipo di soluzione è che anche il livello di protezione potrebbe venir compromesso andando ad inficiare così la sicurezza delle applicazioni.

É quello che molti utenti stanno vivendo con l'avvento dei rootkit kernel-mode, rootkit cioè che possono modificare il kernel di Windows per aggirarne qualunque modalità di protezione.

Partendo da questo assunto, l'obiettivo di Cell è quello di prevenire gli attacchi grazie ad un livello di sicurezza hardware che protegga le singole applicazioni dal potenziale attacco di altro software, sistema operativo incluso. É ovvio che un sistema di sicurezza basato su hardware invece che su software può fornire maggiori garanzie.

Ricordiamo che Cell è costituito da un core di elaborazione principale e otto core secondari. Ognuno degli otto elementi accessori di computazione di Cell, chiamati SPE (Synergistic Processing Elements) sono provvisti di un Local Store, ovvero una porzione di 256KB di memoria on-chip dedicata ad ogni SPE. Ogni Local Store è collegato ad un bus di interconnessione il quale a sua volta è connesso al bus memoria e al bus I/O, come si può chiaramente vedere nell'immagine. Ed è proprio su questa "modularità" che si basa l'architettura di sicurezza del processore sviluppato da IBM, Sony e Toshiba.

Per assicurare l'integrità di dati e codice a livello hardware Cell utilizza tre meccanismi principali: Secure Processing Vault (SPV), Runtime Secure Boot e Hardware Root of Secrecy.

Secure Processing Vault

Lo scopo dell'SPV è quello di isolare un'applicazione dal resto del sistema. Si tratta, in sostanza, di una tecnica che prevede il funzionamento di uno o più SPE in una particolare modalità chiamata "secure mode".Quando un SPE opera in questa modalità, i dati e il codice contenuto all'interno del rispettivo Local Store viene di fatto "recintato" dal resto del sistema, in modo tale che solo l'SPE possa compiere operazioni all'interno del Local Store e che nessun dato possa venir richiesto e trasferito tramite il bus.

Una volta che questo isolamento è attivo, l'unica operazione possibile dall'esterno è l'annullamento del task in esecuzione, il che implica la cancellazione di tutto il contenuto del Local Store prima che venga riabilitato l'accesso dall'esterno. Quando l'SPE opera in questa modalità viene comunque lasciato aperto un collegamento con il bus ma solo per scopi di intercomunicazione e comunque gestiti solo all'interno dell'SPE: non è possibile effettuare alcuna modifica o richiedere dati dall'esterno.

Runtime Secure Boot

La funzione del processo di Runtime Secure Boot è invece quello di verificare l'integrità di una applicazione. Il Secure Processing Vault, infatti, protegge l'applicazione da altro software che potrebbe essere stato modificato e compromesso, ma cosa succede se ad essere compromessa è l'applicazione che viene eseguita in SPV?

Facciamo un esempio: una applicazione potrebbe essere stata modificata in modo tale che, anche se seguita in SPV, abbia accesso a dati sensibili al di fuori dell'SPV e ricopi questi dati in una zona accessibile a chiunque. Una applicazione di questo tipo deve essere rilevata e non eseguita.

Il meccanismo di Runtime Secure Boot prevede che un SPE venga avviato in modalità sicura e che l'applicazione in questione venga inizializzata all'interno di esso. A questo punto viene eseguito un controllo di autenticità basato su un "algoritmo crittografico" via hardware che IBM, purtroppo, non precisa altrimenti. Nel caso in cui l'autenticazione dovesse fallire, l'esecuzione viene immediatamente interrotta. Solamente quando l'applicazione viene considerata autentica allora può essere eseguita in ambiente SPV.

Hardware Root of Secrecy

In una architettura che ha come obiettivo principale la sicurezza, la parte del leone è giocata dal sistema di gestione delle chiavi di crittografia. Tali chiavi sono infatti fondamentali per tutta una serie di operazioni quali la criptatura di dati nella memoria, la de-criptatura di materiale protetto, l'istituzione di canali di comunicazione sicuri e via dicendo.

Le chiavi di criptatura sono generalmente criptate anch'esse il che implica la presenza di una chiave, chiamata root key, che provveda a criptare e decriptare le singole chiavi. Grazie al meccanismo Hardware Root of Secrecy, la root key è conservata all'interno dell'hardware, impedendo così qualunque tipo di accesso tramite strumenti software: solamente un sistema di de-criptazione hardware ha accesso alla root key.

L'accesso alla root key è strettamente legato alle due tecniche viste sopra. Per decifrare materiale protetto viene attivato un SPE in modalità sicura, tale materliale criptato viene posto all'interno dell'SPE e la root key viene impiegata per la decriptatura dei dati. In questo modo le chiavi di criptatura e il contenuto ormai sprotetto è reso disponibile solamente all'interno dell'SPE isolato: in questo modo le chiavi di cifratura non sono accessibili dall'esterno e, soprattutto, l'impiego della root key viene permesso solamente a seguito della verifica di autenticità del meccanismo di Runtime Secure Boot.

Si tratta, come abbiamo visto, di un sistema di sicurezza particolarmente integrato ed efficiente. Ciò ovviamente, non sta a significare che sia invulnerabile, ma dalle informazioni disponibili pare di essere davanti ad un sistema in grado di contrastare notevolmente qualsiasi attacco software.

Come in tutte le cose esiste un rovescio della medaglia: Cell non è ovviamente immune alla possibilità di effettuare modifiche hardware. Questa considerazione diventa particolarmente interessante pensando all'impiego primario di Cell, ovvero l'utilizzo nella console Playstation 3 e Sony è ben a conoscenza del problema dei cosiddetti "mod-chip" per le due precedenti generazioni della console. Vista la complessità del chip e dell'architettura di sicurezza si tratta di una cosa certo non semplice ma comunque nemmeno lontana dalla realtà, ma ciò che è più importante è che se dovesse venire scovato il modo per infrangere i sistemi di protezione di Cell non vi potrà essere alcuna "patch" in grado di ripristinare un livello di sicurezza accettabile: il punto di forza di questo sistema potrebbe essere, paradossalmente, anche il suo punto debole.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
tiatek01 Maggio 2006, 08:32 #1
inventeranno patch hardware..
fires8901 Maggio 2006, 09:16 #2
Geniale.....
Sig. Stroboscopico01 Maggio 2006, 09:32 #3
E' la filosofia del Palladium, no?

Per me le patch hardware non sono applicabili... basta apportare una modifica hw/software ogni tot pezzi e rendi impossibile la creazione di qualunque chip di modifica a meno di non trovare una debolezza comune a tutta la trafila (cosa alquanto improbabile)
tiatek01 Maggio 2006, 09:50 #4
e comunque spendendo una bella cifra x una ps3... non ci metterei su le mani rischiando di bruciare tutto
isd8801 Maggio 2006, 09:53 #5
è praticamente impossibile far eseguire sw nn autorizzato...che faranno un cell completo da sostituire?
DevilsAdvocate01 Maggio 2006, 10:13 #6
Non mi pare che sia tanto la filosofia di Palladium, visto che sul Cell ci gira Linux tranquillamente....
Al limite lo considererei un "Palladium rivisto a beneficio dell'utente"......
ekerazha01 Maggio 2006, 10:25 #7
La Playstation 3 potrebbe essere un simpatico computerino... il kernel Linux supporta già Cell, la scheda video è nVidia (magari se la GPU assomiglia a qualche altra sul mercato, i normali driver potrebbero andare bene).

mortimer8601 Maggio 2006, 10:40 #8
Fantastico!
Però tutta questa architettura per una connsolle ha un solo scopo: impedire l'esecuzione di giochi masterizzati (oltre al fatto che i BD a momenti costano più dei giochi originali).
Aspetterò un paio di masetti prima di acquistarla, per vedere di eventuali problemi, prestazioni a confronto della X360 e parco giochi.

P.S.: Nel documento della IBM non è minimamente accennato il TDP, se ne sa qualcosa?
jpjcssource01 Maggio 2006, 10:46 #9
Originariamente inviato da: mortimer86
Fantastico!
Però tutta questa architettura per una connsolle ha un solo scopo: impedire l'esecuzione di giochi masterizzati (oltre al fatto che i BD a momenti costano più dei giochi originali).
Aspetterò un paio di masetti prima di acquistarla, per vedere di eventuali problemi, prestazioni a confronto della X360 e parco giochi.

P.S.: Nel documento della IBM non è minimamente accennato il TDP, se ne sa qualcosa?


Se la ps3 la si potesse usare anche per la compressione dei filmati (es comprimere dvx ecc...) sarebbe veramente una bella cosa .
MiKeLezZ01 Maggio 2006, 10:58 #10
ao' ma che ce frega de sto tiritera, li giochi masterizzati ce partono oppure no??



ahaha scherzo
molto interessante..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^