1. Главная страница » Компьютеры » Intel trusted execution technology

Intel trusted execution technology

Автор: | 16.12.2019

Intel vPro: что, когда и как

В арсенале решений Intel прочное место занял набор технологий vPro. Его компоненты отвечают за безопасность ПК (включая защиту ОС при загрузке), виртуализацию (наборы инструкций для ускорения работы виртуальных машин, ВМ), администрирование и сервисные возможности в корпоративной среде. Основой концепции vPro является аппаратная реализация функций. Это дает много возможностей, повышает надежность и защищенность систем.

Наличие на устройстве стикера vPro означает, что в ПК или ноутбуке имеются технологии VT, TXT, AMT, Turbo Boost, XD-Bit, WiDi, Wireless Docking (последние две – при наличии беспроводного адаптера WiFi). Расскажем о каждой из них.

Intel VT

Intel ® VT (Intel Virtualization Technology) – специальный набор инструкций процессора, позволяющий существенно ускорить работу виртуальной машины (ВМ) за счет аппаратной реализации виртуализации, которая предполагает работу на реальном процессоре, а не с помощью бинарной трансляции команд ВМ в инструкции процессора.

При создании ВМ в памяти компьютера эмулируется аппаратная платформа, на которой запускается виртуальная ОС, а в ней – приложения, которые выполняются в памяти ВМ. Долгое время «узким местом» виртуальных машин была их низкая производительность, во многом обусловленная тем, что приходилось транслировать команды виртуального процессора в команды реального. Сейчас ВМ создаются и управляются самим процессором с помощью инструкций Intel ® VT-x, которые позволяют работать с процессором напрямую, существенно сократить задержки и избежать потери производительности.

Для решения похожих задач предназначена технология Intel ® EPT, позволяющая гостевым ОС управлять страницами памяти без участия монитора виртуальных машин (VMM). Наконец, технология Intel ® VT-d, предназначенная для «проброса» устройств в виртуальную среду, позволяет гостевой ОС получать прямой доступ к ресурсам других физических устройств (видеокарты, контроллеров в портах расширения и т.д.).

В последних поколениях процессоров Intel удалось существенно снизить издержки производительности при виртуализации , так что сейчас скорость работы виртуальных машин и реальных систем сопоставимы. В тестовой лаборатории iXBT.com проводили исследование потерь производительности в ВМ, с результатами которого можно ознакомиться здесь (хост-ОС – Windows http://www.ixbt.com/cpu/virtual2015-winwin.shtml ) и здесь ( хост-ОС – Linux http://www.ixbt.com/cpu/virtual2015-linuxwin.shtml ). В первой части также затрагивается вопрос преимуществ виртуализации.

Intel TXT

Intel ® TXT (Intel Trusted Execution Technology) — технология «доверенной загрузки». Она обеспечивает безопасность кода, выполняемого в защищенной среде, и позволяет отследить и отсечь его несанкционированные изменения. Intel ® TXT позволяет бороться с вирусами и шпионским ПО, в том числе, так называемыми руткитами, которые интегрируются в систему на ранних этапах загрузки. Особенно важна ее работа при старте системы, когда загружаются основные модули ОС.

Intel ® ТХТ использует модули TPM (Trusted Platform Module) — отдельный чип с функциями аппаратного шифрования и (иногда) защищенного хранилища, где система и приложения могут хранить секретные коды, ключи и пр. Чип работает через BIOS. Он может быть интегрирован в материнскую плату либо располагаться в виде отдельного блока в специальном разъеме.

К сожалению, из-за действующих ограничений на технологии аппаратного шифрования в России до сих пор не преодолены сложности с сертификацией чипов ТРМ. Это усугубляется еще и тем, что ТРМ везде разные и отличаются по функциональности Поэтому в корпоративных системах, поставляемых в Россию, ТРМ либо нет, либо они заблокированы, и функциональные возможности ТХТ у нас ограничены.

Читайте также:  Gmail com забыл пароль что делать

Intel AMT

Intel ® AMT (Intel Active Management Technology) позволяет удаленно управлять ПК или ноутбуком, причем, даже в том случае, когда ОС не установлена или неработоспособна, когда отсутствуют драйверы сетевого интерфейса или компьютер вообще выключен.

АМТ реализована на аппаратном уровне в некоторых версиях процессоров и системной логики Intel. Работает она через проводное сетевое подключение (для работы через беспроводное все же понадобится ОС и сетевые драйвера), создавая отдельный независимый канал обмена данными. Для обеспечения конфиденциальности используется шифрование. Прошивка Intel ® AMT находится обычно на той же микросхеме, что и BIOS, и обновляется вместе с ним.

АМТ существенно упрощает жизнь подразделениям техподдержки, т.к. позволяет решать программные проблемы компьютера (включая перенастройку BIOS) без физического доступа к рабочему месту сотрудника. AMT дает возможность включить и выключить компьютер, что полезно дежурному администратору при обновлении ОС или ПО после окончания рабочего дня.

Intel Turbo Boost

Intel ® Turbo Boost — технология автоматического разгона процессора, которая позволяет увеличивать тактовую частоту его работы при краткосрочной нагрузке, выходя за рамки, разрешенные теплопакетом (TDP).

Последние годы производители стремятся делать корпуса устройств (особенно ноутбуков и планшетов) все тоньше, что не позволяет размещать в них эффективную систему охлаждения: ее возможностей зачастую не хватает даже для современных энергоэффективных решений. Это заставляет ограничивать тактовую частоту процессора, чтобы не допускать перегрева и троттлинга.

При этом большую часть времени процессор современного ПК (при обычных офисных или домашних сценариях) проводит в простое с редкими всплесками краткосрочной интенсивной нагрузки. Поскольку процесс нагрева процессора и реакции системы охлаждения на это событие не мгновенные, первый короткое время может работать и на более высокой частоте, чем это позволяют заданные параметры системы охлаждения. Встроенные службы мониторинга отслеживают потребление энергии и температуру процессора и при превышении порогов снижают тактовую частоту до безопасного уровня.

Таким образом, короткие, но интенсивные задачи процессор будет выполнять быстрее, создавая позитивное впечатление у пользователя о более высокой «отзывчивости» системы. Если же нагрузка длительная, то через некоторое время частота опускается до уровня, на котором система охлаждения справляется с отводом тепла.

Эффективность работы Turbo Boost зависит в первую очередь от системы охлаждения: при наличии мощного вентилятора и радиатора процессор может работать на максимальной частоте неограниченно долго. В последних поколениях Intel позволяет производителям самостоятельно указывать TDP для своих систем, т.е. одна и та же модель процессора будет вести себя по-разному в зависимости от возможностей конкретного устройства.

Intel XD-Bit

Intel ® XD-Bit (Intel Execute Disable Bit) — технология, предназначенная для предотвращения переполнения буфера с помощью «бита запрета на исполнение».

Современные процессоры работают с памятью в так называемом страничном режиме. Страница памяти может содержать либо программный код, либо данные. Intel ® XD-Bit, добавляет к каждой странице данных атрибут запрета, то есть запрещает процессору выполнять код. Это не дает возможности допускать «переполнения буфера», который предполагает перезапись области памяти одной программы другой программой с последующим выполнением программного кода с перезаписанной области с правами суперпользователя. Иными словами: если в программе не реализована проверка длины вводимых данных в буфер, то при вводе бесконечно длинной последовательности данных происходит перезапись области памяти, находящейся за буфером. Злоумышленник перезаписывает область памяти, находящуюся за буферов, вставляя в нее необходимые машинные инструкции.

Intel ® XD-Bit позволяет обезопасить ПК от вирусов, использующие "переполнение буфера", на аппаратном уровне.

Intel WiDi

Intel ® WiDi позволяет подключаться к внешнему экрану (монитору, телевизору или проектору) по беспроводному каналу связи – фактически, по отдельному каналу WiFi. Подключение к внешнему экрану или проектору – например, на конференции — становится гораздо проще, а пользователь избавляется от проводов (длины которых может и не хватить).

Читайте также:  Antenna gain mikrotik какое значение

Для подключения оба устройства должны соответствовать определенным требованиям. У ПК или ноутбука должна быть платформа Intel и адаптер WiFi Intel определенной модели, позволяющий создать две независимые беспроводные сети, у второго устройства – специальный чип. Сейчас на рынке уже есть устройства (телевизоры и проекторы), поддерживающие WiDi, если же поддержки нет, можно воспользоваться внешней приставкой, которая стоит относительно недорого (около $100 ).

Основная сфера применения технологии – проведение презентаций, т.к. она позволяет практически мгновенно подключиться к экрану в чужом офисе и не зависеть от проводов.

Intel Wireless Docking

Эта технология является логическим развитием WiDi и позволяет подключаться по беспроводному каналу не только к монитору (кстати говоря, FullHD-поток можно передать на несколько дисплеев), но и к любой другой периферии. Поэтому ее удобно использовать и на своем рабочем месте: Wireless docking позволяет мгновенно получить доступ ко всей периферии (клавиатура, мышь, внешний монитор и пр.), но при этом не нужно подключать к устройству провода. Поскольку в основе технологии лежит 128-битное AES-шифрование, обеспечивается достаточно высокая безопасность.

У этой технологии большое будущее, т.к. она позволяет просто и очень быстро подключить не только ноутбук, но и мобильное устройство – планшет или даже смартфон, и работать на нем, как на обычном ПК, с помощью клавиатуры и мыши. И при это не нужно возиться с проводными подключениями и делать на устройстве сложные интерфейсы для док-станции.

Заключение

Intel ® vPro объединяет ряд технологий, которые делают жизнь работника и компании проще: одни облегчают обслуживание, другие обеспечивают безопасность, третьи повышают производительность систем. Присутствие логотипа vPro гарантирует, что устройство поддерживает ряд технологий, важных для работы в корпоративной среде.

Выигрыш от vPro ощутим и в малом бизнесе: АМТ, VT и другие технологии принесут немало пользы небольшим предприятиям. Правда, тут есть важный момент: необходимо заранее, при приобретении техники, выбрать системы и компоненты с поддержкой vPro. То есть осознанно принять решение об использовании этих технологий и быть готовым к тому, что техника с их поддержкой будет стоить дороже.

Использование технологий vPro способно сэкономить немало времени и денег. Дело за малым: начать их использовать.

Тип материала Информация о продукции и документация

Идентификатор статьи 000025873

Последняя редакция 08.03.2018

Что такое технология Intel® Trusted Execution (Intel® TXT)?

Технология Intel® Trusted Execution — это набор аппаратных расширений для процессоров и чипсетов Intel®, которые улучшают платформу Digital Office с такими возможностями безопасности, как измеряемый запуск и защищенное выполнение. Технология Intel Trusted Execution предоставляет аппаратные механизмы, которые помогают защититься от программных атак и защищают конфиденциальность и целостность данных, хранящихся или созданных на клиентском компьютере.

Технология Intel Trusted Execution предоставляет эти механизмы, позволяя среде, в которой приложения могут работать в пределах своего собственного пространства, защищенные от всех других программных продуктов в системе. Эти возможности предоставляют механизмы защиты, укорененные в оборудовании, необходимые для обеспечения доверия в среде выполнения приложения. В свою очередь, эти механизмы могут защитить важные данные и процессы от взлома вредоносным программным обеспечением, работающим на платформе.

Технология TXT состоит из последовательно защищённых этапов обработки информации и основана на улучшенном модуле TPM (подробнее о нём модно прочесть в нашем обзоре ноутбука с использованием TPM). В основе системы лежит безопасное исполнение программного кода. Каждое приложение, работающее в защищённом режиме, имеет эксклюзивный доступ к ресурсам компьютера, и в его изолированную среду не сможет вмешаться никакое другое приложение. Ресурсы для работы в защищённом режиме физически выделяются процессором и набором системной логики. Безопасное хранение данных означает их шифрование при помощи всё того же TPM. Любые зашифрованные TPM данные могут быть извлечены с носителя только при помощи того же модуля, что осуществлял шифрование.

Читайте также:  Apple watch sport описание

Intel также разработала систему безопасного ввода данных. У вредоносной программы не будет возможности отследить поток данных на входе компьютера, а кейлоггер получит только бессмысленный набор символов, поскольку все процедуры ввода (включая передачу данных по USB и даже мышиные клики) будут зашифрованы. Защищённый режим приложения позволяет передавать любые графические данные в кадровый буфер видеокарты только в зашифрованном виде, таким образом, вредоносный код не сможет сделать скриншот и послать его хакеру. Кроме того, зашифрована может быть лишь часть информации – например, какое-то определённое окно с сообщением, которое останется для всех других приложений просто невидимым. Защита предусмотрена и для ядра ОС, загружаемого в специальную изолированную область памяти.

Защита безопасности на аппаратном уровне – огромный шаг вперёд. Даже если вирусы не будут побеждены окончательно, конфиденциальность информации сохранять станет намного проще. TXT имеет встроенную систему самоконтроля, так называемую аттестацию, проходя которую компоненты TXT проверяются на целостность, а в случае провала одного из тестов компьютер просто не загрузится. Работа с памятью в TXT чем-то похожа на работу пользователя с разделами жёсткого диска: каждому приложению процессор во время запуска будет выделять свой изолированный раздел оперативной памяти. Возможны в системе и общие, незащищённые разделы памяти. Таким образом, TXT охватывает практически все подсистемы компьютера

* Выделение памяти;
* мониторинг системных событий;
* связь чипсета и памяти;
* подсистемы хранения данных;
* устройства ввода (клавиатура и мышь) ;
* вывод графической информации.

Разработка технологии TXT сейчас находится на финишной прямой. Впервые она будет применена на практике в 2007 году на компьютерах, поддерживающих платформу vPro. В потребительский сектор TXT попадёт только после того, как прочно обоснуется среди профессиональных систем.

Защищенное выполнение (Protected Execution): эта возможность разрешает приложениям выполняться в изолированных окружениях, чтобы оставаться максимально защищенными от другого программного обеспечения, работающего на этой же платформе. Ни одна другая программа не сможет следить за выполнением приложения или его данными. Кроме того, каждое приложение, которое выполняется в этом режиме, имеет свои собственные физически разделенные ресурсы.

Надежное хранение (Sealed Storage): новые чипы TPM могут хранить и шифровать все ключи на аппаратном уровне, причем, расшифровать их можно только на компьютере, в котором установлен конкретный чип TPM. Любые попытки скопировать данные извне приведут к получению зашифрованной информации.

Защищенный ввод (Protected Input): Интел разрабатывает механизм, который предотвратит неавторизованное наблюдение за устройствами ввода, например, отслеживание щелчков мыши и нажатий клавиш на клавиатуре. Шифроваться будет ввод не только от стандартных устройств ввода, но и данные, которые передаются по шине USB. Надеемся, это не отразится на производительности и скорости передачи данных.

Защита графики (Protected Graphics): приложения, которые выполняются в защищенной среде, получат возможность шифрования графического вывода. Данные, которые передаются видеокарте, будут шифроваться и тоже не смогут быть получены не авторизованным кодом. Например, может быть зашифрована информация, которая отображается простой программой-дневником, а все остальные окна будут оставаться незащищенными.

Защищенный запуск (Protected Launch): эта функция TXT будет контролировать и защищать критические части операционной системы и другие, связанные с системой компоненты от несанкционированного доступа во время запуска. Например, компоненты ядра системы защищаются во время и после запуска.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *