内存安全依赖于超高性能 AES-XTS 加密/解密

新思科技安全 IP 高级产品营销经理 Dana Neustadter

简介

在数十亿台设备和云之间创建和传输的数据正在呈指数级增长。越来越多的设备进入市场,云正在向网络边缘扩展,新的应用正在涌现。所有这些因素都是高性能计算 (HPC) 技术进步的驱动因素,它们重塑了片上系统 (SoC) 设计,以满足对更快加速能力、更大存储容量、全新计算架构和更高带宽的需求,从而加快数据移动。

DDR、PCIe、CXL 和以太网等高带宽接口正在激增,其速度在一代又一代的新产品中不断提升。

随着技术经历革命,数据快速增长,数据和系统的安全性至关重要,因为如果安全机制较差,攻击者可能想方设法从机密信息中获利,并干扰民众的私人生活或公司和政府的运营。

多种因素推动了这些安全需求:

  • 日益增多的机密和敏感信息
  • 法律法规
  • 安全威胁的性质不断变化,攻击面不断扩大
  • 标准演变

无论是在途数据还是静态数据保护,安全解决方案都需要支持最新的接口带宽和低延迟要求,并尽可能减少面积。

内存和存储安全涉及保护存储资源和存储在其中的数据,无论是在本地存储还是在外部数据中心和云中存储。

随着 HPC 的发展,数据的数量和种类也在不断增加,对更高容量、更快访问和加速处理的需求也在不断增加。设计者正在转向高性能、低延迟的内存加密解决方案,以保持性能,同时保护最新一代 DDR、LPDDR、GDDR 和 HBM 内存接口上的数据。

AES-XTS 加密算法是内存安全的核心

AES-XTS(有时称为 XTS-AES)事实上是用于保护存储设备上静态数据机密性的加密算法。它是一种基于标准的对称算法,由 NIST SP800-38E 和 IEEE Std 1619-2018 规范定义,其算法属性允许流水线架构从而使性能扩展到 Tbps 带宽。CTS 模式为数据大小无法被底层 AES 密码的 16 字节块整除的数据单元提供支持。

AES-XTS 是 HPC 应用中内存安全的关键组件。它需要经过高度优化和扩展,以支持增加的带宽,同时尽可能降低延迟和面积,并实现无缝 SoC 物理设计和时序收敛。除了完全符合加密规范外,AES-XTS 解决方案还需要支持所有密钥长度的加密和解密,允许针对大量上下文的无缝切换,支持高效的密钥设置/刷新,并且可进行认证,例如,作为典型目标的 FIPS 140-3 2 级,或针对更敏感应用的 3 级要求进行认证。

适用于 HPC 的 新思科技超高性能 AES-XTS IP

在为 HPC SoC 寻找存储或内存加密 IP 解决方案时,重要的是要考虑从值得信任的 IP 提供商获得优化的解决方案,这些解决方案提供最高的性能、最低的延迟和最佳面积,符合最新的标准,并得到专家的支持。

IP 在严格的安全开发流程下构建也很重要,该流程包括:

  • 识别适当的安全数据,如明文、密文、加密密钥和状态以及密钥使用策略
  • 定义安全目标以保护这些数据,确保内核输入中接收到的明文无法通过任何其他接口端口访问,并且仅从输出端口发出关联的密文;维护加密密钥的机密性,等等
  • 实施适当的安全机制,并为 SoC 集成商提供指南,以便在其设计中实现安全集成。

新思科技超高性能 AES-XTS 加密 IP 内核(图 1)解决了这些问题,同时提供了所需的可配置性,以便根据 SoC 设计的特定用例和性能要求进行调整。

通过集成 新思科技符合标准的 AES-XTS 加密内核,HPC SoC 可充分利用:

  • 高性能、低延迟的 IP,可高效地支持各种数据流量
  • 从 128 bit/cycle 到 4096 bit/cycle 可扩展吞吐量,实现超过 4 Tbps 的带宽
  • 具有 256 位和 512 位 AES-XTS 密钥大小的高效加密和解密
  • 延迟低至 4 个周期
  • 每个周期一次 tweak 预计算
  • 无缝消息交错、密钥设置和密钥刷新,可实现高达 64K 的加密上下文
  • 多时钟域支持
  • 专用安全密钥端口
  • 面积、延迟、性能和最大频率优化选项
  • 支持 FIPS 140-3 认证
  • 全双工内存加密与内存接口控制器无缝集成,包括最新一代 DDR4/LPDDR4、DDR5/LPDDR5 和 HBM

借助 新思科技的超高性能 AES-XTS IP,设计师能够确保 HPC SoC 的内存安全非常强大,即使在面临新威胁时也能确保静态数据的保密。

DesignWare 超高性能 AES-XTS 加密 IP 块状图

图 1:新思科技 IP超高性能 AES-XTS IP 块状图

结语

随着互联世界中数据和带宽的巨大增长,安全性对于保护在系统和存储器(包括内存)之间移动的私有和敏感数据至关重要。存储安全的核心在于 AES-XTS 加密算法,对于 HPC 应用该算法需要支持可扩展的高数据速率,同时将延迟和面积影响降至最低。

新思科技的超高性能 AES-XTS Crypto IP 内核具有先进的特性和功能,可满足最新技术进步和安全要求,同时能够根据 SoC 设计的特定用例进行最佳配置。

新思科技在市场上的地位独特,它拥有符合标准的完整安全接口解决方案,符合最新的应用需求,使设计师能够以低风险和快速的上市时间快速地在 SoC 上实现所需的安全性。

除了用于内存加密的超高性能 AES-XTS 加密内核之外,新思科技还提供一系列产品组合(从独立的加密内核到高度集成的安全 IP 解决方案),这些产品组合使用一套通用的基于标准的构建模块和安全概念,为云计算、移动设备、汽车、数字家庭和 IoT 市场中的各类产品实现最高效的芯片设计和最高级别的安全性。

新思科技的高度可配置性安全 IP 解决方案包括:可集成到片上系统 (SoC) 的具有信任根的硬件安全模块、PCIe 集成与数据加密 (IDE) CXL IDE 安全模块、内容保护加密,以及安全协议加速器。这些集成解决方案实现了许多安全标准的核心内容,支持机密性、数据完整性、用户/系统认证、不可否认性以及授权。综合来看,新思科技安全 IP 解决方案有助于防止连接的设备遭受各种日益演变的威胁,例如盗窃、篡改、旁路通道攻击、恶意软件和数据泄露等。