下载 PDF [PDF 797KB]
第 1 部分链接
目录
英特尔® 高级加密标准新指令和英特尔® 安全密钥提供高性能和基于安全软件的加密7
为确保敏感信息的安全或运行时代码安全,应用层和操作系统层广泛使用了加密算法、地址空间布局随机化 (ASLR) 等相关技术。
相比于伪随机数生成器,真随机数生成器更适合生成密钥对或创建随机地址空间。 英特尔® 安全密钥提供英特尔® x86 指令 RDRAND 实施高质量随机数生成器。
该 RDRAND 指令是生成高质量、高性能熵 (Entropy) 和随机数的创新型硬件方法。 它遵循级联结构 RNG(随机数生成器)模式,使用处理器常驻熵源反复播种硬件实施的 CSPRNG(密码安全伪随机号生成器)。 然后 RDRAND 指令生成符合 NIST SP 800-90A 标准的随机数,它可视作适用于大多数常见案例的真随机数。
图 1. RDRAND 指令获取内部硬件随机数生成器的数字。
RDRAND 有多种使用方法:
- 直接在汇编代码或 C/C++ 中的内嵌汇编中使用 RDRAND 指令。
– rdrand %edx – unsigned long therand, err; asm volatile("rdrand %0 ; setc %1" : "=r" (*therand), "=qm" (err)); //therand -> save the result //err -> return the status, 1 on success, 0 on underflow - 英特尔的库 (librdrand)
- 采用 C/C++ 编写而成
- 支持 Windows*、Linux*、OS X*
- 第三方的库
- Openssl (C/C++)
- Lizalab-rdrand-util (Java*) https://github.com/hpadmanabhan/rdrand-util
- Drnglib (Java) https://github.com/cambecc/drnglib
英特尔® 高级加密标准新指令(英特尔® AES-NI)是最受欢迎的非对称加密算法之一。 它广泛用于为内存、本地存储和网络通信数据包中的数据加密,防止隐私受到内存/文件堆存处和网络探测器的攻击。
图 2.使用 AES 为信道加密。
如欲提高安全性,建议加密使用多轮 AES,即增加 AES 加密密钥的长度。 2010 年,英特尔推出了一套新的指令(英特尔 AES-NI),为英特尔 AES 加密和解密提供了完整的硬件支持,以提高性能并降低内存要求。 目前,大多数英特尔台式机或移动处理器都支持英特尔 AES-NI。 下表显示了相比于纯软件实施所显著提升的性能。
硬件: 英特尔®平台,Bay Trail FFRD8 PR1 |
模式(CBC/256) | 文件大小 | AES-NI 启用 | AES-NI 禁用 |
|---|---|---|---|
加密 | 351 MB | 2.89 秒 | 14.59 秒 |
| 56 MB | 0.48 秒 | 2.63 秒 |
解密 | 351 MB | 1.76 秒 | 19.78 秒 |
| 56 MB | 0.29 秒 | 3.16 秒 |
|
图 3.英特尔® 凌动™ 处理器 Z3770(代号“Baytrail”)移动平台上的性能对比。
目前,大多数主流操作系统都支持英特尔 AES-NI。 当应用调用操作系统层(比如 Windows CNG API 和 Android* Javax.crypto java 类)提供的加密 API,低层驱动程序将自动使用英特尔 AES-NI 提高性能。 同时,第三方库(比如 OpenSSL* 1.0.1、英特尔® 集成性能基元加密库、Crypto++ 等)经过优化,可以充分利用英特尔 AES-NI。
英特尔® 实感™ 摄像头深度传感器具备生命力检测功能
面部登录特性广泛应用于人们的日常生活。 人们使用面部解锁 Android 手机和个人计算机设备。 由于面部识别应用使用的摄像头是传统 2D 光学摄像头,无法区分照片是拍摄的真实面部还是平面相片。 因此,黑客也可以使用印有用户脸部的纸张登录设备。
英特尔实感摄像头是一款可带来精彩纷呈的全新用户体验的深度摄像头8。 其中的一项关键特性是以数字的方式捕获 3D 物体和人。 在一些生物识别场景中,它还可用于生命力检测,以提高安全性。 当光学摄像头捕获用户面部时,深度摄像头可同时获取面部的深度信息。 这种面部几何信息可用来轻松确定捕获的照片是拍摄的真人照片还是平面纸张。
图 4.英特尔® 实感™ 摄像头 F200 深度摄像头提供的 3D 面部几何信息。
图 5.英特尔® 实感™ 摄像头 F200 深度摄像头提供的有关印刷纸张的平面几何信息。
结论
生物特征验证一般不同于密码验证。 由于生物特征具有不可撤销性,因此这种全新的验证方法要求更严格的安全保护。
英特尔为基于英特尔处理器的台式机和移动平台提供各种基于硬件的安全技巧。 它们可帮助生物识别解决方案提供商在不增加硬件成本的情况下提供更加安全的生物验证方案。
图 6. 黄色区域显示了如何在英特尔® 平台上提高生物识别的安全性。
关于作者
Jianjun Gu 是英特尔软件和解决方案事业部 (SSG) 开发人员关系部门移动支持团队的一名资深应用工程师。 他专注于企业应用的安全性和可管理性。
Zhihao Yu 在英特尔软件和解决方案事业部 (SSG) 开发人员关系部门担任应用工程师,致力于为基于英特尔® 平台的安全支付解决方案提供支持的英特尔® TEE 技术。
Liang Zhang 现任英特尔软件和解决方案事业部 (SSG) 开发人员关系部门的应用工程师,负责为基于英特尔® 平台的企业应用和物联网开发人员提供支持。
参考资料
1 TEE 系统架构 v1.0: http://www.globalplatform.org/specificationsdevice.asp
2英特尔® Software Guard Extensions(英特尔® SGX),ISCA 2015 英特尔® SGX 教程幻灯片: https://software.intel.com/sites/default/files/332680-002.pdf
3使用创新指令创建可信软件解决方案: https://software.intel.com/zh-cn/articles/using-innovative-instructions-to-create-trustworthy-software-solutions
4英特尔® 64 和 IA-32 架构软件开发人员手册: http://www.intel.com/content/www/us/en/processors/architectures-software-developer-manuals.html
5 Ravi Sahita and Uday Savagaonkar. “Towards a Virtualization-enabled Framework for Information Traceability (VFIT).” In Insider Attack and Cyber Security Volume 39 of the series Advances in Information Security, pp 113-132, Springer, 2008.
6英特尔® 身份保护技术(英特尔® IPT): http://ipt.intel.com/Home
7英特尔® AES-NI 和英特尔® 安全密钥指令简介: https://software.intel.com/zh-cn/node/256280
8英特尔® 实感™ 技术: http://www.intel.com/content/www/us/en/architecture-and-technology/realsense-overview.html