【IT168 资讯】已经被加载在数以百万计的笔记本电脑上的TPM技术,体现了硬件加密技术在深层信息安全上的价值。而今天,一项新的称为Secure Blue的技术正把加密、解密技术集成到更为核心的CPU内部,而且它很可能使硬件加密迎来一个新时代。
从公司总裁到CIO,甚至普通员工,任何一个对企业机密信息负有责任的人,最担心的事恐怕都会是信息安全。在移动办公日渐流行,便携终端设备迅速发展的今天,商务人士匆匆行走的身影背后,隐藏了越来越多的信息被窃取的阴影。当他们出差在外时,如果其终端设备丢失,里面的机密数据很有可能被偷取,从而直接影响到整个公司的信息安全。
为了解决这个问题,IT研发人员开发出了数据加密的多种技术。其中包括软件、硬件两种。前者主要是通过软件来保证信息安全,如通过软件过滤不良信息、监控上网记录、对信息加密等。而硬件类的加密技术可以理解为把软件加密技术的一些算法直接固化在硬件设备上。
在某个专业的IT技术普及网站上,对硬件加密技术的解释是:“通过设计硬件并且不占用CPU的资源来保护信息安全,如通过电路设计对一些载体上的信息加密,硬件防火墙等,它最大的优点就是不占用CPU资源,但是要额外增加硬件投资。”
从TPM到“芯时代”
这里所说的硬件加密技术中,有一种叫做TPM(Trusted Platform Module可信平台模块),很长时间以来,TPM技术一直是业界共同的努力方向,人们希望通过它来降低企业涉秘人员在使用计算机时所面临的信息安全问题。而随着企业和个人用户对安全性能重视程度的日益提高,这种技术在处理数据剽窃、非法PC访问、非法网络访问方面的功能也不断具体和清晰。也正因为如此,硬件厂商,特别是主板芯片组生产厂商都对TPM技术青睐有加。据了解,全球先进大芯片组生产厂商Intel公司就采用了德国Infineon(英飞凌)公司生产的TPM芯片,并与自己的主板技术相结合。就连前不久换了Intel芯的苹果Mac机,也依旧采用了Infineon的TPM芯片来进行“Trusted Computing”(可信运算)验证。而全球第二大芯片组厂商威盛公司,则采用了意法半导体公司所生产的TPM模块,并将其运用在威盛的南桥解决方案上。
威盛产品行销副总裁林哲伟说:“当今,安全是所有PC用户越来越担忧的问题,通过信用平台模块技术,业界正努力研究一种完全封装的解决方案,以消除用户的烦恼。”
今年3月30日,威盛电子在台北宣布与业内伙伴合作,确保其基于Intel、 AMD 和 VIA平台的芯片组解决方案对TPM的全面支持。可见,TPM技术在信息安全重要性日益彰显的今天,成为了几乎所有芯片、芯片组厂商们共同努力的方向。
然而,技术的发展往往出乎人们的意料,这使得IT技术普及网站的更新速度总显得稍慢。起码现在对硬件加密技术的定义就有必要进行一下修改,用“通过设计硬件并且不占用CPU资源”来定义硬件加密技术已经不合时宜。因为就在前不久,IBM 公司的研究人员已经公布了一种在微处理器(也就是CPU)中植入硬件加密技术的方式,一种据说更安全的数据加密方法——Secure Blue。这种被蓝色巨人称为“蓝色安全”的技术很有可能开启硬件加密的“芯时代”。
4月10日,IBM对外宣布了其将在市场上推出这项代号为“Secure Blue”的新技术的消息。按照IBM的说法,它的技术将被广泛应用在手机、PDA、数字媒体播放器等终端设备上,而它所应用的重点领域则是在对数据安全要求较高政府部门、医疗和金融行业。
Secure Blue之所以值得关注,主要是因为它对加密技术如此地“用芯”。它在处理器内部集成一些特殊的电路来完成加密和解密的过程,而不是依靠在CPU以外加上另外的硬件。IBM宣称,在芯片级别植入安全设计的好处之一就是它能够让丢失的或者被偷的设备更难被攻入,因为这种技术是基于硬件而非软件加密,它能很好地防止反向工程和恶意篡改造成的危害。
这样做的意义是重大的。与TPM技术通过在主板上嵌入一块单独的IC卡芯片来实现数据的加密和解密相比,IBM这次提出的Secure Blue已经跨越了IC芯片与CPU之间的距离。
不“用芯” 难保内存数据安全
事实上,备受众多厂商关注的TPM技术确实存在着不足。根本原因就在于TPM芯片一般由主板的南桥芯片控制,与处于北桥芯片附近的CPU相隔甚远。然而,令TPM技术的使用者也感到头疼的是,今天的很多安全问题恰恰出在主板上CPU与TPM芯片之间的“不安全地带”。
要知道,不论是Intel采用的通过前端数据总线访问内存的方式,还是AMD采用的通过交叉总线访问内存的方式,其内存中的数据都是没有加密的,也就是处在由南桥芯片控制的TPM芯片加密范围之外的。而对于Secure Blue技术来说,它能够在CPU内部就对数据进行加密和解密,因此计算过程中出入内存的数据也已经是进行了加密的。这样,数据的安全性无疑被大大提高了。
除了TPM技术之外,Intel公司也拥有自己专属的名为LaGrande的硬件加密技术,2003年9月17日,Intel正式宣布了LaGrande技术。Intel称,LaGrande技术能够保护计算机数据的机密性,防止恶意软件对计算机的攻击。同时,Intel表示LaGrande所针对的并非个人用户,而是对安全性敏感的企业用户。当然,个人用户也可以通过构建类似的平台从中受益。
但LaGrande同样解决不了内存不受保护的问题,在Secure Blue的相关消息被披露后,有业内相关人士就对此进行了评价,认为Intel的LaGrande技术本质上已经做到了Secure Blue所要达到的主要功能,只是它要求同一个分离的芯片进行交互。但IBM的专家则指出,他们的Secure Blue“恰恰能跳过这一步”。
Secure Blue技术的目标是让终端上的信息更加安全,就像IBM 负责安全和隐私业务的经理帕默所表达的意思一样,IBM是在努力提出一种让信息一直处于加密状态的设计,是要让保护数据安全的能力得到大幅度提高。
值得注意的是,LaGrande要得到应用,需要操作系统对其进行专门的支持,同时还需要全新的硬件系统,甚至还要从应用软件厂商那里得到不同以往的支持。这提醒我们对IBM推出的Secure Blue进行进一步的思考,虽然IBM宣称其Secure Blue加密电路能够同任何一款处理器相结合,但是从计算核心层面对加密、解密技术进行的革命,想必也同样需要芯片组厂商、操作系统厂商,到应用软件厂商对其进行足够的支持才行。
IBM 不愿曲高和寡
TPM 技术正在被应用在服务器或手机中。帕默说,TPM 是在正确方向上迈出的一步,但它并非一种非常重要的加密技术。看来,IBM对于Secure Blue技术充满了信心,IBM似乎在告诉人们,一旦这种技术走向成熟,将对传统的硬件加密技术构成极大的挑战。
挑战归挑战,相互挑战的竞争对手之间的关系常常是很微妙的。从技术的角度来看,Secure Blue的核心是IBM自己研究出来的一套新的加密算法,而且IBM 也已经开发了在其PowerPC 微处理器上采用该技术的原型产品。但是,IBM的Secure Blue技术并不想曲高和寡。IBM表示,该技术适用于任何微处理器,其中包括英特尔、AMD 的X86 芯片。也就是说,Secure Blue技术要想得到推广,还需要Intel、AMD等芯片厂商的积极回应。
NPD集团的分析师Neil Strother说,如果IBM能够成功地让Secure Blue技术植入足够多的芯片中,厂商们的反响将会是非常强烈的。但目前,IBM 还没有与Intel、AMD 进行有关集成Secure Blue技术的谈判。在对AMD中国区技术经理刘文卓进行采访的过程中,刘经理也证实说,目前AMD还没有参与到该技术合作中的计划,但是在将来,AMD会不会吸纳这种技术也不能确定,要看这项技术到底是否具有足够的价值,根据具体情况做决定。
硬件加密 “商商相互”
IBM宣称,Secure Blue是一种能够解决许多问题的技术,除了能够防止数据泄露外,Secure Blue还能够被内容提供商应用在数字版权管理(DRM)系统中。
而这个数字版权管理,最近一直不断引发着争议。而硬件加密又在其中起到了不可推卸的推波助澜作用。作为硬件级监视技术,TPM芯片就已经能够以极高的权限禁止用户进行某些操作,以至于有评论称,该技术能够帮助厂商们达到彻彻底底的防盗版能力。
LaGrande也在数字版权保护功能上受到过非议,由于它可提供强硬的版权保护方案,甚至允许厂商在远程对用户的PC进行检查是否存在盗版相关的内容。因此有业内人士评论说,不会有哪一个用户会喜欢这样的功能。外界普遍质疑此举不仅让用户减少对PC的控制力,个人隐私也得不到保障。不过Intel表示,如果你不喜欢LaGrande,完全可以将它关闭,或者干脆购买一块不带该功能的处理器。
然而,与以往的硬件加密技术相比,此次IBM提出的Secure Blue技术将加密和解密技术深入到CPU级别之后,它的防盗版能力将会是长江后浪推前浪,达到滴水不漏的水平。不知道到时候人们对于数字版权管理的看法又会激化到什么程度。
可是从现在的形式来看,硬件厂商们对这种硬件加密技术的热情十分高涨,似乎根本没有受到用户对数字版权问题看法的任何影响。单就TPM技术来讲,不仅Intel和苹果公司对TPM表示支持,AMD和其他硬件厂商也在推崇TPM技术。
那么,如果芯片厂商像对待TPM一样,对Secure Blue技术积极响应,那么IT产业链里软、硬件厂商共同防止盗版的事业肯定会再迈进一步。这一切似乎都会让人从“官官相护”这个词联想到IT行业内这些软、硬件厂商之间是在依靠硬件加密技术,一步步地推动着“商商相互”的局势向前发展,硬件加密技术或许是硬件厂商对软件厂商送上的一份丰厚大礼。
最后要提到的一点就是,Secure Blue技术要求在微处理器芯片中增添一些电路,通常会占到微处理器所集成晶体管数量的几个百分点。虽然IBM 表示,Secure Blue技术的加密、解密过程是动态完成的,不会降低微处理器的性能。但是它毕竟集成在了CPU的内部,是否真的对CPU的计算能力不会构成影响?恐怕现在还只有IBM自己知道。
硬件加密技术给我们展现了信息安全的光明未来。黑客攻击、木马程序、恶意代码带来的噩梦也有可能一去不复返,虽然也许未来技艺高超的黑客们仍然有能力利用某些不尽完善的设计将其攻破,但这样的概率无疑将大大减少,而随着技术的提升,特别是当加密技术被植入到计算机的核心——CPU之后。计算机所拥有的安全性会变得越来越高,这对于电子商务、网上理财等时下开始时髦的应用起到正面的推动作用。尽管这项技术要想普及仍然要面临一些非技术性的障碍,但这些障碍并非不可逾越,倘若软件、硬件厂商一道解决这些问题,这项技术的前景可能会很快变得更加明朗。到时候,技术所服务的对象,也就是那些最终用户们才能够对此做出评判,而CIO们到那时候也可以根据实际需求来决定这项技术是否应该采用。
来源:《信息系统工程》
