Intel aes ni что это в биосе

Обновлено: 07.07.2024

AES используется многими популярными программами с целью защиты конфиденциальной информации, в частности, приложением BitLocker, являющимся частью операционной системы Windows (начиная с версии Vista), почтовым клиентом The Bat!, программой защиты данных TrueCrypt и др.

Взломать AES весьма трудно и возможно только при наличии полного доступа к компьютеру, на котором происходило шифрование. Однако, если в процессор компьютера встроены инструкции AES, задача взлома становится почти невыполнимой.

Результаты тестирования также свидетельствуют, что встроенные в процессор инструкции AES существенно ускоряют процесс шифрования и расшифровки им данных по этому алгоритму (прирост производительности составляет от 30 до 1200 %, в зависимости от приложения и конкретной задачи).

Люди обычно оценивают процессор по количеству ядер, тактовой частоте, объему кэша и других показателях, редко обращая внимание на поддерживаемые им технологии.

Так, полюбившийся многим браузер Google Chrome не работает без поддержки процессором SSE2. Инструкции AVX могут в разы ускорить обработку фото- и видеоконтента. А недавно один мой знакомый на достаточно быстром Phenom II (6 ядер) не смог запустить игру Mafia 3, поскольку его процессор не поддерживает инструкции SSE4.2.

Если аббревиатуры SSE, MMX, AVX, SIMD вам ни о чем не говорят и вы хотели бы разобраться в этом вопросе, изложенная здесь информация станет неплохим подспорьем.

Пользователю предоставляется возможность в удобной форме сравнивать производительность процессоров в синтетических тестах, количество ядер, частоту, структуру и объем кэша, поддерживаемые типы оперативной памяти, скорость шины, а также другие их характеристики.

Дополнительные рекомендации по использованию таблицы можно найти внизу страницы.

В этой базе собраны подробные характеристики процессоров Intel и AMD. Она содержит спецификации около 2,7 тысяч десктопных, мобильных и серверных процессоров, начиная с первых Пентиумов и Атлонов и заканчивая последними моделями.

Информация систематизирована в алфавитном порядке и будет полезна всем, кто интересуется компьютерной техникой.

Есть фильтр, отбирающий процессоры по производителю, модели, сокету, количеству ядер, наличию встроенного видеоядра и другим параметрам.

Для получения подробной информации о любом процессоре достаточно нажать на его название.

Проверка стабильности работы центрального процессора требуется не часто. Как правило, такая необходимость возникает при приобретении компьютера, разгоне процессора (оверлокинге), при возникновении сбоев в работе компьютера, а также в некоторых других случаях.

В статье описан порядок проверки процессора при помощи программы Prime95, которая, по мнению многих экспертов и оверлокеров, является лучшим средством для этих целей.

Название модели обычно наносится производителем прямо на процессор. Так что если он пока еще не установлен в сокет материнской платы и не прикрыт сверху системой охлаждения, получить необходимые сведения можно из маркировки на его крышке.



ПОКАЗАТЬ ЕЩЕ

Поддержка CSM — что это в биосе? (Launch CSM)


Приветствую друзья. Продолжаем изучать биос, его настройки, сегодня разбор полетов будет по поводу поддержки CSM в биосе. Постараюсь найти адекватную информацию и написать простыми словами.

Поддержка CSM в биосе — что это такое?

CSM — функция, позволяющая установить более старую операционку. Например Windows 7, да, это уже к сожалению считается устаревшей системой, а вот можно ли установить XP — неизвестно, вполне возможно что нет..

CSM расшифровывается как Launch Compatibility Support Module, переводится примерно как модуль поддержки запуска в режиме совместимости.

Название функции зависит от модели материнской платы, примеры названия:

Часто расположение настройки — раздел Boot (либо раздел, в названии которого указано данное слово).

Все дело в том, что новый формат биоса UEFI не поддерживает загрузку с MBR (Master Boot Record). Теперь используется новый способ разметки — GPT (GUID Partion Table), который поддерживает жесткие диски более 2 ТБ, неограниченное количество разделов и другое. А вот для поддержки и загрузки с MBR — нужна функция CSM.

Опция Launch CSM в биосе ASUS:


  1. Enabled — включено.
  2. Disabled — отключено.
  3. Auto — автоматически режим, в принципе, можно его использовать, если биос корректно распознает тип загрузочной записи (MBR или GPT).

Просто так настройки биоса никогда не изменяйте. Чревато неприятными последствиями, например винда вообще перестанет загружаться!

Настройка в биосе Гигабайт, здесь она называется CSM Support:


Поддержка CSM — включать или нет?

  1. Наверно уже догадались — включать нужно если вы хотите установить старую винду. Но перед этим убедитесь о наличии дров под ваше оборудование, а также учтите, то новые процы все таки лучше работают с Windows 10. Почему? Новейшие инструкции в процессорах. Касается и Intel и AMD.
  2. Кроме отключения CSM еще часто нужно отключать настройку Secure Boot, которая запрещает устанавливать стороннюю операционную, которая отличается от той, которую предусмотрел производитель. Например — человек купил ноут с Windows 8, а семерку или даже десятку установить не может. Причина именно в этой настройке Secure Boot.

Заключение

  1. Поддержка CSM — режим, при котором могут работать старые виндовсы. Какие? Именно те, которые используют загрузочную запись MBR.
  2. Включать или нет — зависит от ситуации. Нужно установить старую винду — соответственно включать.

Удачи и добра, до новых встреч!

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Launch CSM в BIOS: что это такое и как включить поддержку CSM

Автор: Юрий Белоусов · 28.07.2019

Launch CSM в BIOS – что это такое, зачем нужен данный параметр и как включить поддержку CSM в Биосе, если она не активна. Эти вопросы мы подробно рассмотрим в данной статье.

Launch CSM в BIOS – что это такое? CSM Support

Launch CSM расшифровывается как «Launch Compatibility Support Module», что в переводе на русский значит «Модуль поддержки запуска в режиме совместимости».

Данная функция, при включении, активирует специальный модуль расширенной совместимости, который позволяет производить загрузку и установку более ранних операционных систем и их компонентов.

В разных версиях BIOS и UEFI параметр может быть обозначен по-разному:

  • Launch CSM
  • CMS Boot
  • UEFI and Legacy OS
  • CMS OS

Как включить Launch CSM в BIOS

Включение Launch CSM производиться из BIOS:

  1. Следует перезагрузить компьютер;
  2. Во время загрузки ПК необходимо нажимать клавишу F2 (или Del);
  3. После входа в BIOS нужно перейти в раздел BOOT. Именно там находиться функция Launch CSM, которая по умолчанию отключена [Disabled];
  4. Чтобы включить Launch CSM необходимо выбрать параметр [Enabled] (включена);
  5. Обязательно необходимо сохранить изменения, в противном случае они не вступят в силу;
  6. Завершающий этап – перезагрузка ПК.

Для корректной работы режима совместимости, пользователю также может понадобиться отключить режим Secure Boot.

Launch CSM в BIOS не активен

Если попытке включить режим совместимости, пользователь столкнулся с тем, что пункт Launch CSM в BIOS не активен, то необходимо сделать следующее:

  1. Перейти во вкладку Security;
  2. Отключить параметр Secure Boot Control, переведя его в состояние [Disabled];
  3. Сохранить изменения;
  4. Повторно войти в BIOS.

Видео по включению CSM в BIOS на ноутбуке Asus:

Не нашли ответ? Тогда воспользуйтесь формой поиска:

Использует ли код скомпилированной библиотеки Crypto ++, использующий шифрование AES / GCM, инструкции Intel AES-NI?

Я реализую AES256 / GCM шифрование и аутентификация с использованием библиотеки Crypto ++. Мой код скомпилирован с использованием Visual Studio 2008 как проект C ++ / MFC. Это несколько более старый проект, который использует предыдущую версию библиотеки, Cryptopp562 ,

Мне любопытно, будет ли полученный скомпилированный код использовать Intel AES-NI инструкции ? И если так, что произойдет, если аппаратное обеспечение (старый процессор) не поддерживает его?

РЕДАКТИРОВАТЬ: Вот пример кода, с которым я его тестирую:

Если вы запускаете код, содержащий инструкции AES-NI на оборудовании x86, которое не поддерживает эти инструкции, вы должны получить недопустимые ошибки инструкций. Если код не делает что-то умное (например, смотрит на CPUID, чтобы решить, следует ли запускать оптимизированный код AES-NI, или что-то еще), это также можно использовать для определения, действительно ли используются инструкции AES-NI.

В противном случае вы всегда можете использовать отладчик и установить контрольные точки в инструкциях AES-NI, чтобы увидеть, использует ли ваш процесс эту часть кода.

В соответствии с Примечания к выпуску Crypto ++ Поддержка AES-NI была добавлена ​​в версии 5.6.1. Глядя на исходный код версии 5.6.5 Crypto ++, если поддержка AES-NI была включена во время компиляции, то она использует проверки во время выполнения ( HasAESNI() функция, вероятно, с использованием CPUID), чтобы решить, использовать ли эти встроенные функции. Увидеть rijndael.cpp (а также cpu.cpp для кода CPUID) в его исходном коде для деталей.

Другие решения

Мне любопытно, будет ли полученный скомпилированный код использовать инструкции Intel AES-NI?

09.08.2010 — Выпущена версия 5.6.1

  • добавлена ​​поддержка наборов команд AES-NI и CLMUL в AES и GMAC / GCM

Во-вторых, компилятор, ассемблер и компоновщик должны поддерживать инструкции. Для Crypto ++ это означает, что вы используете как минимум MSVC 2008 SP1, GCC 4.3 и Binutils 2.19. Для MSVC, если вы посмотрите на config.h , его охраняют следующим образом ( __AES__ есть для GCC и друзей тоже)

Вы можете искать _MSC_FULL_VER числа в Версия для Visual Studio . По иронии судьбы, я никогда не видел подобную страницу в MSDN, хотя пакеты обновления имеют значение. Вы должны перейти на китайский сайт. Например, проверенные итераторы появились в VS2005 SP1 (IIRC).

Для Linux и GCC-совместимых GNUmakefile проверяет версию компилятора и ассемблера. Если они слишком старые, то makefile добавляет CRYPTOPP_DISABLE_AESNI в командной строке, чтобы отключить поддержку, даже если __AES__ определено.

CRYPTOPP_DISABLE_AESNI появляется чаще, чем вы думаете. Например, если вы загружаете OpenBSD 6.0 (текущая версия), то
CRYPTOPP_DISABLE_AESNI будет присутствовать, потому что их ассемблер так стар. Они в основном застряли в версии своих инструментов до GPL-2 (очевидно, они не согласились с изменениями лицензии).

В-третьих, ЦП поддерживает инструкции AES и SSE4 (причина инструкций SSE4 поясняется ниже). Эти проверки выполняются во время выполнения, и вызывается интересующая функция. HasAES() от cpu.h (есть также HasSSE4() ):

Предостережение о Item (3) — это библиотека, которая должна быть скомпилирована с поддержкой Item (2). Если Item (2) не включает поддержку времени компиляции, то Item (3) не может предложить поддержку времени выполнения.

И если так, что произойдет, если аппаратное обеспечение (старый процессор) не поддерживает его?

Ничего такого. Используется стандартная реализация CXX, а не AES с аппаратным ускорением.

Возможно, вам будет интересно узнать, что у нас также есть другое аппаратное ускорение AES, включая ARMv8 Crypto и VIA Padlock. Мы также предоставляем другое аппаратное ускорение, такое как CRC32, Carryless-Multiplies и SHA. Все они функционируют одинаково — поддержка времени компиляции переводится в поддержку времени выполнения.

(Комментарий): Я просто установил точку останова для метода DetectX86Features в cpu.cpp … и он никогда не срабатывал …

Это может быть сложно по двум причинам. Во-первых, вызовы могут быть встроены в сборки релизов, поэтому код формируется немного иначе, чем вы ожидаете.

Во-вторых, есть глобальный генератор случайных чисел, к которому GlobalRNG() , GlobalRNG() AES в режиме OFB. Когда инициализаторы запускаются для test.cpp блок перевода, GlobalRNG() создается, что вызывает DetectX86Features() бежать очень рано (до того, как контроль входит main ).

Возможно, вам повезет с наблюдением деталей низкого уровня с WinDbg.

Стоит также упомянуть, что AES / GCM может быть ускорен путем чередования AES с GCM. Я считаю, что идея состоит в том, чтобы выполнить 4 раунда вычисления ключа AES и 1 CLMUL параллельно. Crypto ++ не пользуется этим, но OpenSSL использует эту возможность. Я не знаю, что делают Botan или mbedTLS.

Просто чтобы закончить мой вопрос, вот мои выводы.

Метод, который вилки выполнение на поддерживаемое оборудование AES-NI инструкции, в отличие от программного обеспечения, реализованного в библиотеке Crypto ++ для моего Пример кода выше , является Rijndael::Enc::AdvancedProcessBlocks находится в rijndael.cpp , Это начинается так:

CRYPTOPP_BOOL_AESNI_INTRINSICS_AVAILABLE Переменная препроцессора будет определена, если вы собираете библиотеку Crypto ++ по крайней мере Visual Studio 2008 with SP1 (Обратите внимание, что SP1 важно.) Такая зависимость необходима, чтобы иметь возможность использовать AES-NI внутренние (такие как _mm_aesenc_si128 а также _mm_aesenclast_si128 ) для создания Intel AES-NI инструкции машинного кода.

Таким образом, добавив точку останова в начале


позволит вам отладить его прямо из Visual Studio. Внешний отладчик не требуется.

Если вы затем вступите в AESNI_AdvancedProcessBlocks Метод фактического шифрования AES будет обработан в одном из AESNI_Enc_* методы. Вот как актуально aesenc а также aesenclast машинные инструкции могут выглядеть как x86 конфигурация в Release построить:


Таким образом, чтобы ответить на мой оригинальный вопрос, чтобы образец кода в моем посте выше мог использовать Intel AES-NI инструкции, необходимые для создания примера кода и библиотеки Crypto ++, по крайней мере, Visual Studio 2008 with SP1 , (Просто строю это с Visual Studio 2008 или более ранняя версия, не буду сделать работу, даже если процессор, на котором работает код, поддерживает AES-NI инструкции.) После этого никакие другие шаги не кажутся необходимыми. Библиотека обнаружит присутствие AES-NI инструкции автоматически ( HasAESNI() функция) и будет использовать их при наличии. В противном случае по умолчанию будет реализована программная реализация.

Наконец, просто из любопытства я решил посмотреть, насколько сильно будет отличаться скорость аппаратного обеспечения от программного AES-GCM. Я использовал следующий фрагмент кода (из моего примера кода выше):

Вот два результата:



Сайт про ремонт ПК

Intel aes ni что это в биосе

15.09.2018 admin Комментарии Нет комментариев

Бесспорная популярность персональных компьютеров стимулирует разработчиков делать их совершеннее. Шифрование данных – важная часть использования мессенджеров, социальных сетей и прочих видов интернет-коммуникаций. Без него вся ваша информация доступна любому человеку из сети, из любого места. Команды шифрования AES-NI от компании Intel представляют собой улучшенный алгоритм Advanced Encryption Standard. Эти инструкции используются в серверных процессорах Intel Xeon и десктопных/профессиональных Intel Core. Если вы задаётесь вопросом «Intel AES—NI, что это в биосе?», то эта статья будет для вас как никогда кстати.

Зачем её активировать

Intel добавила в AES 7 инструкций, которые предоставляют лучшую защиту данных. Как они могут сгодиться пользователям и как их активировать?

Intel AES-NI сосредотачивается на таких задачах:

  • защита транзакций в Интернете и интрасетях;
  • шифровании дисков (при использовании Microsoft BitLocker, к примеру);
  • шифровке некоторых частей уже защищённых транзакций (шифрование на прикладном уровне).

Как результат, носители информации зашифровываются быстрее, что можно увидеть на примере программы PGPdisk. Кодировка в режиме CBC/256 с включёнными инструкциями AES-NI эффективней на 20%, нежели без них. Тест производился на файле размером 351 мегабайт. Также стоит отметить скорость дешифрования в CBC/256 с AES-NI – прирост составляет девять процентов.

Как включить функцию в BIOS

Делается это в несколько нажатий кнопок на клавиатуре. Помните, что AES-NI работает только на процессорах от компании Intel. Также стоит проверить поддержку этой технологии вашим ЦП на официальном сайте производителя. Инструкция по включению:

  1. После включения компьютера, зайдите в его меню базовой системы ввода/вывода.
  2. Перейдите во вкладку «Advanced». В ней найдите строку «Intel AES-NI» и установите значение «Enabled».
  3. Сохраните применённые установки и дождитесь загрузки операционной системы.

Заключение

AES-NI – совокупность инструкций, позволяющая процессору лучше кодировать и декодировать файлы на компьютере. Технология принадлежит компании Интел и используется исключительно её продуктами. Её стоит включить, делается это через БИОС, если вы занимаетесь криптованием объёмных файлов и/или часто проводите транзакции во всемирной паутине.


Ребята всем даровчик. Говорим мы о такой штуке как Intel AES-NI, это можно встретить в биосе, но вот что это? Будем узнавать. И вот я нашел официальный сайт Intel, где написано, что Intel AES-NI это некий набор команд шифрования, который дополняет алгоритм Advanced Encryption Standard (AES) и ускоряет процесс шифрования данных в процах Intel Xeon (это серверные) и Intel Core (обычные домашние).

Ага, то есть AES-NI выполняет некоторые моменты AES на аппаратном уровне, то есть прямо в самом проце. Ну вот теперь я немного понимаю. То есть AES-NI улучшает работу AES, ускоряет типа. Шифроваться должно быстрее, единственное что я не понял, это шифроваться что? Диск в винде шифроваться, или архив WinRAR будет быстрее создаваться? Вот это я пока не могу понять. Но по этому вопросу я нашел кое какие разьяснения, гляньте:


Короче ребята, я вроде все понял. Есть такая штука как AES, правильно? Вот что это такое? Это симметричный алгоритм блочного шифрования, короче дичь. Но не в этом суть. Я так понимаю что AES используется в некоторых программах, логично? Ну вот. А вот опция Intel AES-NI она как бэ ускоряет работу алгоритма AES, понимаете? Ибо эта опция работает на аппаратном уровне прямо в проце.

Тогда такой вопрос, получается что Intel AES-NI стоит включать, чтобы что-то там шифровалось быстрее? Да, получается что именно так. Вот еще читаю, что программы для шифрования диска, то они могут использовать Intel AES-NI, вот например одна из таких программ это PGPdisk.

Ребята, нашел оч интересную картинку, где показано преимущество использования AES-NI, посмотрите:


Так, какой вывод можно сделать? Intel AES-NI это некая штука, которая встроена в сам процессор, на самом деле это какие-то инструкции, и эти инструкции помогают работать алгоритму AES быстрее. Сам алгоритм может использоваться разными программами, и при помощи Intel AES-NI, эти программы будут свою работу выполнять быстрее

Ну а вот ребята этот пункт Intel AES-NI в биосе:


Ребята, вот мы и разобрались с тем что такое Intel AES-NI, ну а если что не так, то сильно не ругайте. Удачи вам и чтобы вы были счастливы!

Intel AES-NI что это в биосе? : 4 комментария

По поводу защищенных транзакций через интернет. Имеется в виду случай, когда вы устанавливаете соединение VPN. Обычно, если это делается с ПК (а не с роутера), то трафик шифруется.

Аппаратная поддержка AES снижает нагрузку на процессор при этом. Или при той же нагрузке позволяет увеличить скорость передачи. Причем разница в разы, примерно так же, как в вашем тесте.

Выражаю вам благодарность за ваш комментарий! Реально нанесли пользу сайту. Плюс вам в карму, приходите еще в гости

а что делать если в описании процессора поддержка есть а проги не видят, и в биосе то же нет похожих строк?

В первой части мы обсудили проблемы современных биометрических приложений распознавания пользователей и рассказали о том, как Intel SGX, Intel VMX и Intel IPT способны повысить уровень их защиты. Сегодня продолжим разговор о безопасности биометрии, рассмотрим технологии Intel AES-NI, Intel Secure Key и Intel RealSense.



Для того, чтобы защитить важные данные или программный код во время исполнения, широко используются криптографические алгоритмы и рандомизация адресного пространства (Address Space Layout Randomization, ASLR). Подобные технологии применяются как на уровне обычных приложений, так и на уровне операционной системы. Важной их частью являются случайные числа.

Intel Secure Key

Если нужно сгенерировать ключевую пару или создать случайное адресное пространство, генератор настоящих случайных чисел лучше, чем генератор псевдослучайных чисел. Технология Intel Secure Key предоставляет x86-инструкцию RDRAND, которую можно использовать для создания высококачественного генератора случайных чисел.

Инструкция RDRAND воплощает инновационный подход к созданию высококачественного, высокопроизводительного генератора случайных чисел, основанного на аппаратном источнике энтропии. Генератор построен по каскадной модели, он задействует встроенный в процессор источник энтропии для периодической инициализации аппаратного криптографически безопасного генератора псевдослучайных чисел. В результате инструкция RDRAND может генерировать случайные числа, соответствующие стандарту NIST SP 800-90A. Для наиболее распространённых вариантов использования её можно считать генератором подлинно случайных чисел.


Инструкция RDRAND получает данные из внутреннего аппаратного генератора случайных чисел

Существует много способов использования RDRAND.

1. Вызов RDRAND напрямую в коде на ассемблере или на встроенном ассемблере в C++.


2. Использование библиотеки от Intel (librdrand). Она написана на C/C++. Существуют версии для Windows, и для Linux и OS X.

3. Использование библиотек сторонних поставщиков.

Intel AES-NI

Intel Advanced Encryption Standard New Instructions (Intel AES-NI) – это набор инструкций, разработанный для ускорения приложений, использующих один из самых популярных симметричных алгоритмов шифрования AES. AES широко используют для шифрования данных, хранящихся в оперативной памяти и на жёстких дисках, для защиты информации, передаваемой по сети. Делается это для того, чтобы защитить конфиденциальные данные даже в том случае, если злоумышленнику удастся их скопировать с некоего носителя или перехватить при передаче.


Шифрование канала передачи данных с использованием AES

Для того, чтобы повысить запас надёжности, рекомендуется выполнять шифрование с использованием нескольких раундов AES, что эквивалентно увеличению длины криптографического ключа. В 2010 году Intel представила новый набор инструкций (Intel AES-NI), который предлагает полную аппаратную поддержку шифрования и дешифровки AES. Это позволяет увеличить производительность и снизить потребление памяти. В наши дни практически все настольные и мобильные процессоры Intel поддерживают AES-NI. Вот, какого прироста производительности удаётся достичь при использовании AES-NI в сравнении с полностью программной реализацией алгоритма, не использующей эти команды.

Тестируемое устройство построено на базе Intel Atom Z3770 (Bay Trail) FFRD8 PR1, оно работало под управлением Android 4.4, использовалось OpenSSL native C API.

Режим (CBC/256) Размер файла, Мб. С AES-NI, сек. Без AES-NI, сек.
Шифрование 351 2,89 14,59
56 0,48 2,63
Дешифровка 351 1,76 19,78
56 0,29 3,16

Как видно из данных, приведённых в таблице, при шифровании использование инструкций Intel AES-NI дало 5-кратный рост производительности. При дешифровке – 11-кратный рост. Нужно отметить, что использование AES-NI позволяет снизить энергопотребление примерно на 40%.

В настоящее время большинство популярных операционных систем содержат встроенную поддержку Intel AES-NI. Когда некое приложение обращается к криптографическому API, которое предоставляет система, например, к Windows CNG API или к классу Javax.crypto в Android, низкоуровневый драйвер автоматически задействует инструкции AES-NI для повышения производительности. Кроме того, многие библиотеки, например, OpenSSL 1.0.1, Intel Integrated Performance Primitives, Crypto++, оптимизированы с целью максимально эффективного использования AES-NI.

Испытания на живучесть и датчик глубины камеры Intel RealSense

Биометрическое распознавание пользователя, основанное на анализе лица, широко используется в повседневной жизни многих людей. Например – для разблокировки Android-устройств и персональных компьютеров. Так как для распознавания лица используется традиционная оптическая камера, умеющая захватывать плоские изображения, система не может отличить реального человека от фотографии. В результате взломщик может пройти процедуру авторизации, воспользовавшись распечатанным фотоснимком лица пользователя.

Камера Intel RealSense умеет захватывать информацию о глубине пространства. Это открывает очень интересные перспективы. Одна из её функций заключается в построении трёхмерных моделей людей и объектов, попадающих в объектив. Данная возможность позволяет задействовать Intel RealSense как инструмент испытания на живучесть в некоторых сценариях захвата биометрических данных, и, как результат, повысить безопасность биометрических систем. Обычная камера, входящая в состав RealSense, фотографирует лицо пользователя, а модуль трёхмерного сканирования пространства одновременно строит объёмную картину того, что находится перед камерой. Сведения о пространственных характеристиках лицевой области легко могут быть использованы для того, чтобы определить, человек ли смотрит в камеру, или, там, где должно находиться объёмное лицо, размещён плоский лист бумаги.


Трёхмерная модель лица с камеры глубины Intel RealSense F200. Очевидно, перед камерой настоящий человек.


Лист бумаги, пусть и с напечатанным фото пользователя, остаётся плоским для камеры глубины Intel RealSense F200. Очевидно, что это – подделка.

Обзор технологий

Вот краткий обзор технологий Intel, которые могут поднять безопасность биометрических систем на новый уровень.


Жёлтыми значками показаны области применения технологий Intel для повышения безопасности биометрических приложений.

  • Intel SGX
    • Защита кода и данных во время выполнения приложений.
    • Организация защищённого локального хранения информации.
    • Организация безопасного обмена важными данными по сети.
    • Защита памяти приложений, работающих с уровнем привилегий Ring-3
    • Защита памяти драйверов, работающих с уровнем привилегий Ring-0
    • Защита данных, хранимых на различных носителях информации, в оперативной памяти, передаваемых по сети.
    • Значительное ускорение процедур шифрования и дешифрования
    • Организация многофакторной аутентификации
    • Защита информации, выводимой на дисплей, и данных, которые вводит пользователь
    • Организация испытаний на живучесть.

    Итоги

    Биометрическая идентификация пользователей отличается от традиционной схемы, использующей имя и пароль. Биометрические данные человека практически невозможно изменить. Как результат, этот подход к аутентификации требует повышенного уровня безопасности систем.

    Intel предлагает различные аппаратные технологии, доступные как в настольных компьютерах, оснащённых процессорами Intel, так и на мобильных устройствах. Эти технологии могут помочь разработчикам биометрических решений в создании более защищённых систем аутентификации без необходимости задействовать дополнительное аппаратное обеспечение.

    Intel® AES New Instructions (Intel® AES-NI) is a new encryption instruction set that improves on the Advanced Encryption Standard (AES) algorithm and accelerates the encryption of data in the Intel® Xeon® processor family and the Intel® Core™ processor family.

    Comprised of seven new instructions, Intel® AES-NI gives your IT environment faster, more affordable data protection, and greater security; making pervasive encryption feasible in areas where previously it was not.

    Combined Value: Intel® Data Protection Technology (Intel® DPT)
    with AES-NI and Secure Key

    Cryptography is the foundation for data protection, and cryptography is based on:

    1. Good algorithms, i.e. AES, and

    2. Good keys, i.e. good random numbers.

    Why Intel® AES-NI Matters

    Encryption is frequently recommended as the best way to secure business-critical data, and AES is the most widely used standard when protecting network traffic, personal data, and corporate IT infrastructures.

    With recent advancements in cloud computing, where personal or business-critical information leaves the traditional IT environment, a more widely usable and secure encryption standard such as AES and acceleration mechanism like Intel® AES-NI are essential.

    Thankfully, AES is a widely-deployed encryption standard when protecting network traffic, personal data, and corporate IT infrastructures; and Intel® AES-NI can be used to accelerate the AES encryption. With such robust, affordable, and flexible options, Intel® AES-NI can help your business stay ahead of growing threats.

    By implementing some intensive sub-steps of the AES algorithm into the hardware, Intel® AES-NI strengthens and accelerates execution of the AES application.

    The seven new instructions comprising Intel® AES-NI accelerate encryption and decryption and improve key generation and matrix manipulation, all while aiding in carry-less multiplication.

    This minimizes application performance concerns inherent in traditional cryptographic processing and provides enhanced security by addressing side channel attacks on AES associated with traditional software methods of table look-ups.

    С повышением уровня использования вычислительных устройств, проникающих во все сферы нашей жизни на работе и дома, необходимость в шифровании стала еще более важной. Настольные компьютеры, ноутбуки, смартфоны, КПК, плееры Blue-ray и многие другие устройства связывает такая необходимость в способности шифровать конфиденциальные данные. Без шифрования все, что вы посылаете по сети (или даже храните на локальном устройстве хранения) находится в открытом состоянии, и любой может прочесть эту информацию в любое время. Конечно, управление доступом/разрешения обеспечивают некоторую защиту, но когда вы серьезно настроены относительно безопасности, шифрование должно быть частью вашей многоуровневой стратегии безопасности. Хотя некоторые могут решить, что им нечего скрывать, суть в том, что информация, которая, по-вашему, не представляет никакой ценности, может быть использована самыми удивительными способами теми людьми, которые и не намереваются соблюдать ваши интересы. Так в сегодняшнем деловом мире шифрование, особенно, должно считаться естественным положением дел, а не дополнительной необязательной опцией.

    Важность шифрования

    Подумайте о тех ситуациях, в которых шифрование используется (или должно использоваться) в вашей повседневной жизни:

    • Когда вы включаете ноутбук и автоматически подключаетесь к своей беспроводной точке доступа, вы, вероятно, используете WPA для шифрования и AES в качестве алгоритма шифрования.
    • Когда вы подключаетесь к защищенному веб сайту, чтобы поделиться информацией или приобрести какие-то продукты, это SSL соединение представляет собой зашифрованный сеанс, который разработан для обеспечения того, чтобы ваши конфиденциальные данные не были доступны остальному миру.
    • Когда ваш ноутбук использует BitLocker для шифрования информации на диске, если он украден, вся информация на его дисках не станет «достоянием общественности».
    • Когда вы создаете IPsec VPN подключение или IPsec DirectAccess подключение к сети своей компании, это IPsec подключение защищено с помощью AES шифрования

    Есть еще масса примеров, но вполне очевидно, что шифрование, и AES в особенности, является неотъемлемой частью компьютерной жизни, независимо от того знаете вы об этом или нет.

    Будучи сетевым администратором вы знаете, что шифрование является критической частью вашей внутренней инфраструктуры. Хакеров больше не интересует возможность положить всю вашу сеть, как это было раньше. Почему? Потому что на таких атаках по всей организации не заработаешь денег. С применением все более и более суровых наказаний за незаконную хакерскую деятельность, большинство хакеров больше не занимаются этим исключительно ради интереса. Вместо этого сегодняшний хакер представляет собой незаконного предпринимателя, который хочет заработать денег. Одним из способов сделать это является компрометация ключевых серверов и замалчивание этого факта. Хакер хочет украсть информацию, которую можно выгодно продать, например, базы данных, наполненные личной информацией или секретами компании. Хакер обычно не может сделать деньги, если прервет работоспособность сервера, и не сможет сделать денег, если вы будете в курсе, что он там, и вы можете остановить его до того, как он получит желаемое. Таким образом, вам нужно использовать шифрование внутренней части инфраструктуры в качестве защитного механизма «на крайний случай», чтобы не позволить хакерам получить доступ к важной информации.

    Шифрование также является важной частью регламента соответствия повседневных задач ИТ; например следующие положения все включают шифрование, как часть своих стандартов:

    • HIPAA (Health Insurance Portability and Accountability Act)
    • SOX (Sarbanes-Oxley)
    • PCI DSS (Payment Card Industry Data Security Standard)

    AES: Новый стандарт

    AES является текущим стандартом шифрования, используемым правительством США, и он пришел на смену предыдущему стандарту, тройному DES, который использовал стандартный 56-bit ключ. AES может использовать ключи различной длины, которые характеризуются как AES-128, AES-192 и AES-256. В зависимости от длины ключа может быть до 14 циклов трансформации, необходимой для создания конечного зашифрованного текста.

    AES также имеет несколько режимов работы:

    • electronic codebook (ECB)
    • cipher block chaining (CBC)
    • counter (CTR)
    • cipher feedback (CFB)
    • output feedback (OFB)

    Цепочка зашифрованных блоков (Cipher block chaining) является самым распространенным режимом, поскольку он предоставляет приемлемый уровень безопасности и не подвержен уязвимости статистических атак.

    Трудности: безопасность vs. производительность

    Основной проблемой с такими продвинутыми методами шифрования, как AES с CBC является то, что они потребляют много ресурсов процессора. Это особенно касается серверов, но может создавать проблемы и для загруженных клиентских систем, поскольку на них устанавливаются менее мощные процессоры. Это означает, что вы можете оказаться перед выбором: более высокая степень защиты против высокого уровня производительности вашей системы. Эта ситуация может быть настолько проблематичной на стороне сервера, что такие способы обхода этих проблем, как SSL или IPsec карты разгрузки (карты разгрузки шифрования) используются для снижения уровня нагрузки на процессор и позволяют процессору выполнять и другую работу помимо создания сеансов и шифрования.

    Проблема с добавляемыми картами заключается в том, что они зависят от приложений и могут не работать, в зависимости от того, для каких целей вы хотите использовать их. Нам нужно общее решение, которое будет работать во всех сценариях шифрования AES, чтобы не нужно было делать ничего специально для разгрузки задачи шифрования центрального процессора. Нам нужно решение ‘plug and play’, которое было бы встроено в ОС и материнскую плату.

    Intel AES-NI приходит на помощь

    Если вы согласитесь с этим, то есть несколько хороших новостей для вас ‘ новый набор инструкций Intel AES-NI, который в настоящее время доступен в процессорах серии Intel Xeon5600, отвечает этим критериям. Ранее этот процессор был известен под своим кодовым названием Westmere-EP. AES-NI выполняет некоторые шаги AES на аппаратном уровне, прямо в микросхеме процессора. Однако вы должны знать, что AES-NI на процессоре не включает полный процесс реализации AES, лишь некоторые компоненты, необходимые для оптимизации производительности. AES-NI делает это путем добавления шести новых AES инструкций: четыре из них для шифрования/ расшифровки, одна для колонки ‘mix’ (смешивание), и одна для генерирования текста следующего цикла ‘next round’ (где количество циклов контролируется длиной бит, выбранных вами).

    Одним из замечательных моментов в Intel AES-NI заключается то, что, поскольку она построена на базе аппаратных средств, нет необходимости хранить в памяти таблицы просмотра, а блоки шифрования выполняются в процессоре. Это снижает шансы успешности атак сторонних каналов (‘side channel attacks’). К тому же, Intel AES-NI позволяет системе выполнять ключи большей длины, в результате чего данные более надежно защищены.

    На настоящий момент Intel AES-NI концентрируется в основном на трех моментах:

    • Защищенные транзакции через интернет и в интрасети
    • Полное шифрование диска (например, как в случае с Microsoft BitLocker)
    • Шифрование прикладного уровня (часть защищенной транзакции)

    Защищенные транзакции по интернету и интрасети могут включать использование SSL для подключения к защищенному веб сайту в интрасети или интернете. Вдобавок, IPsec туннельный и транспортный режим пользуются все большей популярностью для защиты сеансов в интрасети, а в случае с DirectAccess в интернете. Следует учитывать, что SSL используется для защиты коммуникаций уровня 7, а IPsec используется для защиты коммуникаций сетевого (третьего) уровня.

    В последнее время можно было слышать, что компьютерное облако становится следующим большим прорывом в компьютерном мире, и поставщики услуг компьютерного облака значительно выиграют от Intel AES-NI, где большинство их коммуникаций будет осуществляться через зашифрованный канал. Что касается IPsec, если с сервером есть всего несколько IPsec соединений, то будет вполне достаточно и разгрузки SSL. Но если ваш сервер загружен, Intel AES-NI в отдельности или в сочетании с SSL разгрузкой будет более подходящим решением.

    К тому же, здесь есть компонент транзакции (‘secure transactions’). Вдобавок к шифрованию прикладного или сетевого уровня, есть шифрование прикладного уровня, которое использует Intel AES-NI. Например:

    • Базы данных можно шифровать
    • Почту можно шифровать
    • Службы управления правами используют шифрование
    • Сама файловая система может быть зашифрована (в отличие от шифрования на дисковом уровне).
    • Такие приложения, как Microsoft SQL могут использовать шифрование Transparent Data Encryption (TDE) для автоматического шифрования записей, внесенных в базу данных.

    В конечном счете получается, что Intel AES-NI может значительно ускорить время транзакций и сделать покупателей более счастливыми, а сотрудников более продуктивными.

    Полное шифрование диска зашифровывает диск полностью за исключением MBR. Вдобавок к Microsoft BitLocker, есть ряд других приложений шифрования диска, которые могут использовать Intel AES-NI, например PGPdisk. Проблема с полным шифрованием диска заключается в том, что оно может вызывать снижение производительности, в результате чего пользователи могут отказываться от использования данного метода шифрования. С Intel AES-NI это воздействие на производительность практически исчезает, и пользователи более охотно будут включать полное шифрование диска и использовать его преимущества.

    Улучшение производительности

    Так какие улучшения производительности мы на самом деле увидим с Intel AES-NI? Пока что трудно сказать точно, что данная технология может нам предложить, поскольку она довольно новая. Но компания Intel провела ряд собственных испытаний, результаты которых радуют:

    • При работе с банковскими интернет услугами на Microsoft IIS/PHP сотрудники компании обнаружили, что, сравнивая две системы на базе Nehalem, одна с шифрованием и одна без, был прирост в 23% пользователей, которых можно поддерживать на этой системе. Когда система Nehalem с шифрованием сравнивалась с non-Nehalem системой, улучшение в количестве поддерживаемых пользователей составило 4.5 раза. Это поразительные результаты!
    • В тесте шифрования / расшифровки базы данных Oracle 11g сотрудники компании обнаружили, что при сравнении двух Nehalem систем, одна с включенным шифрованием, другая - нет, система с включенным шифрованием показала 89% снижения времени на расшифровку 5.1 миллионов строк зашифрованной таблицы. Также наблюдалось 87% снижение времени на зашифровку таблиц типа OLTP и повторную вставку и удаление одного миллиона строк.
    • Полное шифрование диска может занимать массу времени для начального шифрования диска. Компания Intel обнаружила, что при шифровании Intel 32 ГБ SDD диска в первый раз с помощью шифрования конечной точки McAfee для ПК наблюдалось снижение времени первого заполнения на 42%. Это просто поразительная разница, которую вы определенно ощутите, если вам до этого доводилось ждать окончание процесса полного шифрования диска в первый раз.

    Заключение

    Для дополнительной информации о процессорах серии Intel Xeon 5600 с Intel AES-NI перейдите по следующей ссылке.

    Читайте также: