RAM-Schranke
RAM-Verschlüsselung bei AMD und Intel
AMD-Epyc-Prozessoren für Server können RAM verschlüsseln, um Sicherheitsrisiken zu vermeiden. Intel will mit einer ähnlichen Technik nachziehen und stellt mit den Software Guard Extensions (SGX) schon jetzt verschlüsselte RAM-Enklaven bereit: ein Überblick.
Die jüngsten Serverprozessoren von AMD und Intel haben neuartige Funktionen, um Daten vor starken Angreifern zu schützen: Sie verschlüsseln den Arbeitsspeicher teilweise oder ganz. Nicht einmal Administratoren mit physischem Zugriff auf einen Server sollen sensible Daten lesen können, die in einer virtuellen Maschine laufen. Die neuen CPU-Funktionen SME, SEV, SGX, TME und MKTME (siehe Tabelle rechts) helfen außerdem, Schäden durch Software-Angriffe zu begrenzen: Selbst wenn ein System bereits von Malware befallen ist, sollen vertrauenswürdige Operationen weiter möglich sein, nämlich in verschlüsselten Enklaven. Damit geht RAM-Verschlüsselung deutlich über bisherige Schutzmaßnahmen hinaus. Zu Letzteren gehört beispielsweise die Adressraumisolation, deren Mängel die Seitenkanalangriffe Meltdown und Spectre drastisch aufgezeigt haben.
Physische Attacken
Physische Angriffe setzen lokalen Zugriff auf einen Computer durch einen Angreifer vor Ort voraus. Ein einfaches Beispiel ist das Auslesen einer unverschlüsselten Festplatte. In kritischen Umgebungen sind Festplatten deshalb verschlüsselt; außer einer Kopie der Festplattendaten braucht ein Angreifer dann noch den Schlüssel. An den wiederum kommt er aber nur heran, wenn das Zielsystem läuft und der Schlüssel als Klartext im Hauptspeicher liegt.