Intel aes ni что это в биосе - TurboComputer.ru
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд (пока оценок нет)
Загрузка...

Intel aes ni что это в биосе

Безболезненное шифрование: Intel Advanced Encryption Standard New Instructions (AES-NI)

Посетителей: 7790 | Просмотров: 9345 (сегодня 0)Шрифт:

С повышением уровня использования вычислительных устройств, проникающих во все сферы нашей жизни на работе и дома, необходимость в шифровании стала еще более важной. Настольные компьютеры, ноутбуки, смартфоны, КПК, плееры Blue-ray и многие другие устройства связывает такая необходимость в способности шифровать конфиденциальные данные. Без шифрования все, что вы посылаете по сети (или даже храните на локальном устройстве хранения) находится в открытом состоянии, и любой может прочесть эту информацию в любое время. Конечно, управление доступом/разрешения обеспечивают некоторую защиту, но когда вы серьезно настроены относительно безопасности, шифрование должно быть частью вашей многоуровневой стратегии безопасности. Хотя некоторые могут решить, что им нечего скрывать, суть в том, что информация, которая, по-вашему, не представляет никакой ценности, может быть использована самыми удивительными способами теми людьми, которые и не намереваются соблюдать ваши интересы. Так в сегодняшнем деловом мире шифрование, особенно, должно считаться естественным положением дел, а не дополнительной необязательной опцией.

Важность шифрования

Подумайте о тех ситуациях, в которых шифрование используется (или должно использоваться) в вашей повседневной жизни:

  • Когда вы включаете ноутбук и автоматически подключаетесь к своей беспроводной точке доступа, вы, вероятно, используете WPA для шифрования и AES в качестве алгоритма шифрования.
  • Когда вы подключаетесь к защищенному веб сайту, чтобы поделиться информацией или приобрести какие-то продукты, это SSL соединение представляет собой зашифрованный сеанс, который разработан для обеспечения того, чтобы ваши конфиденциальные данные не были доступны остальному миру.
  • Когда ваш ноутбук использует BitLocker для шифрования информации на диске, если он украден, вся информация на его дисках не станет «достоянием общественности».
  • Когда вы создаете IPsec VPN подключение или IPsec DirectAccess подключение к сети своей компании, это IPsec подключение защищено с помощью AES шифрования

Есть еще масса примеров, но вполне очевидно, что шифрование, и AES в особенности, является неотъемлемой частью компьютерной жизни, независимо от того знаете вы об этом или нет.

Будучи сетевым администратором вы знаете, что шифрование является критической частью вашей внутренней инфраструктуры. Хакеров больше не интересует возможность положить всю вашу сеть, как это было раньше. Почему? Потому что на таких атаках по всей организации не заработаешь денег. С применением все более и более суровых наказаний за незаконную хакерскую деятельность, большинство хакеров больше не занимаются этим исключительно ради интереса. Вместо этого сегодняшний хакер представляет собой незаконного предпринимателя, который хочет заработать денег. Одним из способов сделать это является компрометация ключевых серверов и замалчивание этого факта. Хакер хочет украсть информацию, которую можно выгодно продать, например, базы данных, наполненные личной информацией или секретами компании. Хакер обычно не может сделать деньги, если прервет работоспособность сервера, и не сможет сделать денег, если вы будете в курсе, что он там, и вы можете остановить его до того, как он получит желаемое. Таким образом, вам нужно использовать шифрование внутренней части инфраструктуры в качестве защитного механизма «на крайний случай», чтобы не позволить хакерам получить доступ к важной информации.

Шифрование также является важной частью регламента соответствия повседневных задач ИТ; например следующие положения все включают шифрование, как часть своих стандартов:

  • HIPAA (Health Insurance Portability and Accountability Act)
  • SOX (Sarbanes-Oxley)
  • PCI DSS (Payment Card Industry Data Security Standard)

AES: Новый стандарт

AES является текущим стандартом шифрования, используемым правительством США, и он пришел на смену предыдущему стандарту, тройному DES, который использовал стандартный 56-bit ключ. AES может использовать ключи различной длины, которые характеризуются как AES-128, AES-192 и AES-256. В зависимости от длины ключа может быть до 14 циклов трансформации, необходимой для создания конечного зашифрованного текста.

AES также имеет несколько режимов работы:

  • electronic codebook (ECB)
  • cipher block chaining (CBC)
  • counter (CTR)
  • cipher feedback (CFB)
  • output feedback (OFB)

Цепочка зашифрованных блоков (Cipher block chaining) является самым распространенным режимом, поскольку он предоставляет приемлемый уровень безопасности и не подвержен уязвимости статистических атак.

Трудности: безопасность vs. производительность

Основной проблемой с такими продвинутыми методами шифрования, как AES с CBC является то, что они потребляют много ресурсов процессора. Это особенно касается серверов, но может создавать проблемы и для загруженных клиентских систем, поскольку на них устанавливаются менее мощные процессоры. Это означает, что вы можете оказаться перед выбором: более высокая степень защиты против высокого уровня производительности вашей системы. Эта ситуация может быть настолько проблематичной на стороне сервера, что такие способы обхода этих проблем, как SSL или IPsec карты разгрузки (карты разгрузки шифрования) используются для снижения уровня нагрузки на процессор и позволяют процессору выполнять и другую работу помимо создания сеансов и шифрования.

Проблема с добавляемыми картами заключается в том, что они зависят от приложений и могут не работать, в зависимости от того, для каких целей вы хотите использовать их. Нам нужно общее решение, которое будет работать во всех сценариях шифрования AES, чтобы не нужно было делать ничего специально для разгрузки задачи шифрования центрального процессора. Нам нужно решение ‘plug and play’, которое было бы встроено в ОС и материнскую плату.

Intel AES-NI приходит на помощь

Если вы согласитесь с этим, то есть несколько хороших новостей для вас ‘ новый набор инструкций Intel AES-NI, который в настоящее время доступен в процессорах серии Intel Xeon5600, отвечает этим критериям. Ранее этот процессор был известен под своим кодовым названием Westmere-EP. AES-NI выполняет некоторые шаги AES на аппаратном уровне, прямо в микросхеме процессора. Однако вы должны знать, что AES-NI на процессоре не включает полный процесс реализации AES, лишь некоторые компоненты, необходимые для оптимизации производительности. AES-NI делает это путем добавления шести новых AES инструкций: четыре из них для шифрования/ расшифровки, одна для колонки ‘mix’ (смешивание), и одна для генерирования текста следующего цикла ‘next round’ (где количество циклов контролируется длиной бит, выбранных вами).

Одним из замечательных моментов в Intel AES-NI заключается то, что, поскольку она построена на базе аппаратных средств, нет необходимости хранить в памяти таблицы просмотра, а блоки шифрования выполняются в процессоре. Это снижает шансы успешности атак сторонних каналов (‘side channel attacks’). К тому же, Intel AES-NI позволяет системе выполнять ключи большей длины, в результате чего данные более надежно защищены.

На настоящий момент Intel AES-NI концентрируется в основном на трех моментах:

  • Защищенные транзакции через интернет и в интрасети
  • Полное шифрование диска (например, как в случае с Microsoft BitLocker)
  • Шифрование прикладного уровня (часть защищенной транзакции)

Защищенные транзакции по интернету и интрасети могут включать использование SSL для подключения к защищенному веб сайту в интрасети или интернете. Вдобавок, IPsec туннельный и транспортный режим пользуются все большей популярностью для защиты сеансов в интрасети, а в случае с DirectAccess в интернете. Следует учитывать, что SSL используется для защиты коммуникаций уровня 7, а IPsec используется для защиты коммуникаций сетевого (третьего) уровня.

В последнее время можно было слышать, что компьютерное облако становится следующим большим прорывом в компьютерном мире, и поставщики услуг компьютерного облака значительно выиграют от Intel AES-NI, где большинство их коммуникаций будет осуществляться через зашифрованный канал. Что касается IPsec, если с сервером есть всего несколько IPsec соединений, то будет вполне достаточно и разгрузки SSL. Но если ваш сервер загружен, Intel AES-NI в отдельности или в сочетании с SSL разгрузкой будет более подходящим решением.

К тому же, здесь есть компонент транзакции (‘secure transactions’). Вдобавок к шифрованию прикладного или сетевого уровня, есть шифрование прикладного уровня, которое использует Intel AES-NI. Например:

  • Базы данных можно шифровать
  • Почту можно шифровать
  • Службы управления правами используют шифрование
  • Сама файловая система может быть зашифрована (в отличие от шифрования на дисковом уровне).
  • Такие приложения, как Microsoft SQL могут использовать шифрование Transparent Data Encryption (TDE) для автоматического шифрования записей, внесенных в базу данных.

В конечном счете получается, что Intel AES-NI может значительно ускорить время транзакций и сделать покупателей более счастливыми, а сотрудников более продуктивными.

Полное шифрование диска зашифровывает диск полностью за исключением MBR. Вдобавок к Microsoft BitLocker, есть ряд других приложений шифрования диска, которые могут использовать Intel AES-NI, например PGPdisk. Проблема с полным шифрованием диска заключается в том, что оно может вызывать снижение производительности, в результате чего пользователи могут отказываться от использования данного метода шифрования. С Intel AES-NI это воздействие на производительность практически исчезает, и пользователи более охотно будут включать полное шифрование диска и использовать его преимущества.

Улучшение производительности

Так какие улучшения производительности мы на самом деле увидим с Intel AES-NI? Пока что трудно сказать точно, что данная технология может нам предложить, поскольку она довольно новая. Но компания Intel провела ряд собственных испытаний, результаты которых радуют:

  • При работе с банковскими интернет услугами на Microsoft IIS/PHP сотрудники компании обнаружили, что, сравнивая две системы на базе Nehalem, одна с шифрованием и одна без, был прирост в 23% пользователей, которых можно поддерживать на этой системе. Когда система Nehalem с шифрованием сравнивалась с non-Nehalem системой, улучшение в количестве поддерживаемых пользователей составило 4.5 раза. Это поразительные результаты!
  • В тесте шифрования / расшифровки базы данных Oracle 11g сотрудники компании обнаружили, что при сравнении двух Nehalem систем, одна с включенным шифрованием, другая – нет, система с включенным шифрованием показала 89% снижения времени на расшифровку 5.1 миллионов строк зашифрованной таблицы. Также наблюдалось 87% снижение времени на зашифровку таблиц типа OLTP и повторную вставку и удаление одного миллиона строк.
  • Полное шифрование диска может занимать массу времени для начального шифрования диска. Компания Intel обнаружила, что при шифровании Intel 32 ГБ SDD диска в первый раз с помощью шифрования конечной точки McAfee для ПК наблюдалось снижение времени первого заполнения на 42%. Это просто поразительная разница, которую вы определенно ощутите, если вам до этого доводилось ждать окончание процесса полного шифрования диска в первый раз.

Заключение

Шифрование теперь является требованием практически для всех в повседневной жизни. AES – это новый стандарт шифрования. Хотя шифрование позволяет нам защищать данные, оно может вызывать значительное потребление ресурсов и снижение производительности, а иногда оно может просто не позволять процессору выполнять остальные задачи, которые нам нужны. В прошлом с этой проблемой можно было справиться путем перехода на более мощный процессор или путем добавления процессоров, а также с помощью использования решений разгрузки. Однако все эти подходы имели встроенные ограничения. Новый стандарт Intel AES-NI значительно повышает производительность и безопасность путем перевода 6 новых инструкций, связанных с AES, на микросхему процессора. Это обеспечивает повышение производительности и безопасности в ряде ситуаций, таких как защищенные сети и сеансы прикладного уровня, защищенные транзакции и полное шифрование диска с минимальным воздействием или с полным отсутствуем такового на весь процесс использования. Intel AES-NI должен стать частью любого плана установки клиентских и серверных систем, в которых шифрование будет интенсивно использоваться, например когда DirectAccess подключается к корпоративной сети. Сочетание Nehalem архитектуры и технологии Intel AES-NI обещает коренным образом изменить компьютерный мир и улучшить работу пользователей и администраторов наряду с улучшением производительности.

Читайте также:  Как узнать что грузит процессор Windows 7

Для дополнительной информации о процессорах серии Intel Xeon 5600 с Intel AES-NI перейдите по следующей ссылке.

Аппаратные технологии безопасности Intel: новое слово в защите биометрических приложений. Часть 2

В первой части мы обсудили проблемы современных биометрических приложений распознавания пользователей и рассказали о том, как Intel SGX, Intel VMX и Intel IPT способны повысить уровень их защиты. Сегодня продолжим разговор о безопасности биометрии, рассмотрим технологии Intel AES-NI, Intel Secure Key и Intel RealSense.

Для того, чтобы защитить важные данные или программный код во время исполнения, широко используются криптографические алгоритмы и рандомизация адресного пространства (Address Space Layout Randomization, ASLR). Подобные технологии применяются как на уровне обычных приложений, так и на уровне операционной системы. Важной их частью являются случайные числа.

Intel Secure Key

Если нужно сгенерировать ключевую пару или создать случайное адресное пространство, генератор настоящих случайных чисел лучше, чем генератор псевдослучайных чисел. Технология Intel Secure Key предоставляет x86-инструкцию RDRAND, которую можно использовать для создания высококачественного генератора случайных чисел.

Инструкция RDRAND воплощает инновационный подход к созданию высококачественного, высокопроизводительного генератора случайных чисел, основанного на аппаратном источнике энтропии. Генератор построен по каскадной модели, он задействует встроенный в процессор источник энтропии для периодической инициализации аппаратного криптографически безопасного генератора псевдослучайных чисел. В результате инструкция RDRAND может генерировать случайные числа, соответствующие стандарту NIST SP 800-90A. Для наиболее распространённых вариантов использования её можно считать генератором подлинно случайных чисел.

Инструкция RDRAND получает данные из внутреннего аппаратного генератора случайных чисел

Существует много способов использования RDRAND.

1. Вызов RDRAND напрямую в коде на ассемблере или на встроенном ассемблере в C++.

2. Использование библиотеки от Intel (librdrand). Она написана на C/C++. Существуют версии для Windows, и для Linux и OS X.

3. Использование библиотек сторонних поставщиков.

Intel AES-NI

Intel Advanced Encryption Standard New Instructions (Intel AES-NI) – это набор инструкций, разработанный для ускорения приложений, использующих один из самых популярных симметричных алгоритмов шифрования AES. AES широко используют для шифрования данных, хранящихся в оперативной памяти и на жёстких дисках, для защиты информации, передаваемой по сети. Делается это для того, чтобы защитить конфиденциальные данные даже в том случае, если злоумышленнику удастся их скопировать с некоего носителя или перехватить при передаче.

Шифрование канала передачи данных с использованием AES

Для того, чтобы повысить запас надёжности, рекомендуется выполнять шифрование с использованием нескольких раундов AES, что эквивалентно увеличению длины криптографического ключа. В 2010 году Intel представила новый набор инструкций (Intel AES-NI), который предлагает полную аппаратную поддержку шифрования и дешифровки AES. Это позволяет увеличить производительность и снизить потребление памяти. В наши дни практически все настольные и мобильные процессоры Intel поддерживают AES-NI. Вот, какого прироста производительности удаётся достичь при использовании AES-NI в сравнении с полностью программной реализацией алгоритма, не использующей эти команды.

Тестируемое устройство построено на базе Intel Atom Z3770 (Bay Trail) FFRD8 PR1, оно работало под управлением Android 4.4, использовалось OpenSSL native C API.

Режим (CBC/256)Размер файла, Мб.С AES-NI, сек.Без AES-NI, сек.
Шифрование3512,8914,59
560,482,63
Дешифровка3511,7619,78
560,293,16

Как видно из данных, приведённых в таблице, при шифровании использование инструкций Intel AES-NI дало 5-кратный рост производительности. При дешифровке – 11-кратный рост. Нужно отметить, что использование AES-NI позволяет снизить энергопотребление примерно на 40%.

В настоящее время большинство популярных операционных систем содержат встроенную поддержку Intel AES-NI. Когда некое приложение обращается к криптографическому API, которое предоставляет система, например, к Windows CNG API или к классу Javax.crypto в Android, низкоуровневый драйвер автоматически задействует инструкции AES-NI для повышения производительности. Кроме того, многие библиотеки, например, OpenSSL 1.0.1, Intel Integrated Performance Primitives, Crypto++, оптимизированы с целью максимально эффективного использования AES-NI.

Испытания на живучесть и датчик глубины камеры Intel RealSense

Биометрическое распознавание пользователя, основанное на анализе лица, широко используется в повседневной жизни многих людей. Например – для разблокировки Android-устройств и персональных компьютеров. Так как для распознавания лица используется традиционная оптическая камера, умеющая захватывать плоские изображения, система не может отличить реального человека от фотографии. В результате взломщик может пройти процедуру авторизации, воспользовавшись распечатанным фотоснимком лица пользователя.

Камера Intel RealSense умеет захватывать информацию о глубине пространства. Это открывает очень интересные перспективы. Одна из её функций заключается в построении трёхмерных моделей людей и объектов, попадающих в объектив. Данная возможность позволяет задействовать Intel RealSense как инструмент испытания на живучесть в некоторых сценариях захвата биометрических данных, и, как результат, повысить безопасность биометрических систем. Обычная камера, входящая в состав RealSense, фотографирует лицо пользователя, а модуль трёхмерного сканирования пространства одновременно строит объёмную картину того, что находится перед камерой. Сведения о пространственных характеристиках лицевой области легко могут быть использованы для того, чтобы определить, человек ли смотрит в камеру, или, там, где должно находиться объёмное лицо, размещён плоский лист бумаги.

Трёхмерная модель лица с камеры глубины Intel RealSense F200. Очевидно, перед камерой настоящий человек.

Лист бумаги, пусть и с напечатанным фото пользователя, остаётся плоским для камеры глубины Intel RealSense F200. Очевидно, что это – подделка.

Обзор технологий

Вот краткий обзор технологий Intel, которые могут поднять безопасность биометрических систем на новый уровень.

Жёлтыми значками показаны области применения технологий Intel для повышения безопасности биометрических приложений.

  • Intel SGX
    • Защита кода и данных во время выполнения приложений.
    • Организация защищённого локального хранения информации.
    • Организация безопасного обмена важными данными по сети.
  • Intel VMM
    • Защита памяти приложений, работающих с уровнем привилегий Ring-3
    • Защита памяти драйверов, работающих с уровнем привилегий Ring-0

  • Intel AES-NI
    • Защита данных, хранимых на различных носителях информации, в оперативной памяти, передаваемых по сети.
    • Значительное ускорение процедур шифрования и дешифрования

  • Intel IPT
    • Организация многофакторной аутентификации
    • Защита информации, выводимой на дисплей, и данных, которые вводит пользователь

  • Intel RealSense
    • Организация испытаний на живучесть.

Итоги

Биометрическая идентификация пользователей отличается от традиционной схемы, использующей имя и пароль. Биометрические данные человека практически невозможно изменить. Как результат, этот подход к аутентификации требует повышенного уровня безопасности систем.

Intel предлагает различные аппаратные технологии, доступные как в настольных компьютерах, оснащённых процессорами Intel, так и на мобильных устройствах. Эти технологии могут помочь разработчикам биометрических решений в создании более защищённых систем аутентификации без необходимости задействовать дополнительное аппаратное обеспечение.

Безболезненное шифрование: Intel Advanced Encryption Standard New Instructions (AES-NI)

Посетителей: 7790 | Просмотров: 9345 (сегодня 0)Шрифт:

С повышением уровня использования вычислительных устройств, проникающих во все сферы нашей жизни на работе и дома, необходимость в шифровании стала еще более важной. Настольные компьютеры, ноутбуки, смартфоны, КПК, плееры Blue-ray и многие другие устройства связывает такая необходимость в способности шифровать конфиденциальные данные. Без шифрования все, что вы посылаете по сети (или даже храните на локальном устройстве хранения) находится в открытом состоянии, и любой может прочесть эту информацию в любое время. Конечно, управление доступом/разрешения обеспечивают некоторую защиту, но когда вы серьезно настроены относительно безопасности, шифрование должно быть частью вашей многоуровневой стратегии безопасности. Хотя некоторые могут решить, что им нечего скрывать, суть в том, что информация, которая, по-вашему, не представляет никакой ценности, может быть использована самыми удивительными способами теми людьми, которые и не намереваются соблюдать ваши интересы. Так в сегодняшнем деловом мире шифрование, особенно, должно считаться естественным положением дел, а не дополнительной необязательной опцией.

Важность шифрования

Подумайте о тех ситуациях, в которых шифрование используется (или должно использоваться) в вашей повседневной жизни:

  • Когда вы включаете ноутбук и автоматически подключаетесь к своей беспроводной точке доступа, вы, вероятно, используете WPA для шифрования и AES в качестве алгоритма шифрования.
  • Когда вы подключаетесь к защищенному веб сайту, чтобы поделиться информацией или приобрести какие-то продукты, это SSL соединение представляет собой зашифрованный сеанс, который разработан для обеспечения того, чтобы ваши конфиденциальные данные не были доступны остальному миру.
  • Когда ваш ноутбук использует BitLocker для шифрования информации на диске, если он украден, вся информация на его дисках не станет «достоянием общественности».
  • Когда вы создаете IPsec VPN подключение или IPsec DirectAccess подключение к сети своей компании, это IPsec подключение защищено с помощью AES шифрования

Есть еще масса примеров, но вполне очевидно, что шифрование, и AES в особенности, является неотъемлемой частью компьютерной жизни, независимо от того знаете вы об этом или нет.

Будучи сетевым администратором вы знаете, что шифрование является критической частью вашей внутренней инфраструктуры. Хакеров больше не интересует возможность положить всю вашу сеть, как это было раньше. Почему? Потому что на таких атаках по всей организации не заработаешь денег. С применением все более и более суровых наказаний за незаконную хакерскую деятельность, большинство хакеров больше не занимаются этим исключительно ради интереса. Вместо этого сегодняшний хакер представляет собой незаконного предпринимателя, который хочет заработать денег. Одним из способов сделать это является компрометация ключевых серверов и замалчивание этого факта. Хакер хочет украсть информацию, которую можно выгодно продать, например, базы данных, наполненные личной информацией или секретами компании. Хакер обычно не может сделать деньги, если прервет работоспособность сервера, и не сможет сделать денег, если вы будете в курсе, что он там, и вы можете остановить его до того, как он получит желаемое. Таким образом, вам нужно использовать шифрование внутренней части инфраструктуры в качестве защитного механизма «на крайний случай», чтобы не позволить хакерам получить доступ к важной информации.

Шифрование также является важной частью регламента соответствия повседневных задач ИТ; например следующие положения все включают шифрование, как часть своих стандартов:

  • HIPAA (Health Insurance Portability and Accountability Act)
  • SOX (Sarbanes-Oxley)
  • PCI DSS (Payment Card Industry Data Security Standard)

AES: Новый стандарт

AES является текущим стандартом шифрования, используемым правительством США, и он пришел на смену предыдущему стандарту, тройному DES, который использовал стандартный 56-bit ключ. AES может использовать ключи различной длины, которые характеризуются как AES-128, AES-192 и AES-256. В зависимости от длины ключа может быть до 14 циклов трансформации, необходимой для создания конечного зашифрованного текста.

AES также имеет несколько режимов работы:

  • electronic codebook (ECB)
  • cipher block chaining (CBC)
  • counter (CTR)
  • cipher feedback (CFB)
  • output feedback (OFB)

Цепочка зашифрованных блоков (Cipher block chaining) является самым распространенным режимом, поскольку он предоставляет приемлемый уровень безопасности и не подвержен уязвимости статистических атак.

Трудности: безопасность vs. производительность

Основной проблемой с такими продвинутыми методами шифрования, как AES с CBC является то, что они потребляют много ресурсов процессора. Это особенно касается серверов, но может создавать проблемы и для загруженных клиентских систем, поскольку на них устанавливаются менее мощные процессоры. Это означает, что вы можете оказаться перед выбором: более высокая степень защиты против высокого уровня производительности вашей системы. Эта ситуация может быть настолько проблематичной на стороне сервера, что такие способы обхода этих проблем, как SSL или IPsec карты разгрузки (карты разгрузки шифрования) используются для снижения уровня нагрузки на процессор и позволяют процессору выполнять и другую работу помимо создания сеансов и шифрования.

Проблема с добавляемыми картами заключается в том, что они зависят от приложений и могут не работать, в зависимости от того, для каких целей вы хотите использовать их. Нам нужно общее решение, которое будет работать во всех сценариях шифрования AES, чтобы не нужно было делать ничего специально для разгрузки задачи шифрования центрального процессора. Нам нужно решение ‘plug and play’, которое было бы встроено в ОС и материнскую плату.

Intel AES-NI приходит на помощь

Если вы согласитесь с этим, то есть несколько хороших новостей для вас ‘ новый набор инструкций Intel AES-NI, который в настоящее время доступен в процессорах серии Intel Xeon5600, отвечает этим критериям. Ранее этот процессор был известен под своим кодовым названием Westmere-EP. AES-NI выполняет некоторые шаги AES на аппаратном уровне, прямо в микросхеме процессора. Однако вы должны знать, что AES-NI на процессоре не включает полный процесс реализации AES, лишь некоторые компоненты, необходимые для оптимизации производительности. AES-NI делает это путем добавления шести новых AES инструкций: четыре из них для шифрования/ расшифровки, одна для колонки ‘mix’ (смешивание), и одна для генерирования текста следующего цикла ‘next round’ (где количество циклов контролируется длиной бит, выбранных вами).

Одним из замечательных моментов в Intel AES-NI заключается то, что, поскольку она построена на базе аппаратных средств, нет необходимости хранить в памяти таблицы просмотра, а блоки шифрования выполняются в процессоре. Это снижает шансы успешности атак сторонних каналов (‘side channel attacks’). К тому же, Intel AES-NI позволяет системе выполнять ключи большей длины, в результате чего данные более надежно защищены.

На настоящий момент Intel AES-NI концентрируется в основном на трех моментах:

  • Защищенные транзакции через интернет и в интрасети
  • Полное шифрование диска (например, как в случае с Microsoft BitLocker)
  • Шифрование прикладного уровня (часть защищенной транзакции)

Защищенные транзакции по интернету и интрасети могут включать использование SSL для подключения к защищенному веб сайту в интрасети или интернете. Вдобавок, IPsec туннельный и транспортный режим пользуются все большей популярностью для защиты сеансов в интрасети, а в случае с DirectAccess в интернете. Следует учитывать, что SSL используется для защиты коммуникаций уровня 7, а IPsec используется для защиты коммуникаций сетевого (третьего) уровня.

В последнее время можно было слышать, что компьютерное облако становится следующим большим прорывом в компьютерном мире, и поставщики услуг компьютерного облака значительно выиграют от Intel AES-NI, где большинство их коммуникаций будет осуществляться через зашифрованный канал. Что касается IPsec, если с сервером есть всего несколько IPsec соединений, то будет вполне достаточно и разгрузки SSL. Но если ваш сервер загружен, Intel AES-NI в отдельности или в сочетании с SSL разгрузкой будет более подходящим решением.

К тому же, здесь есть компонент транзакции (‘secure transactions’). Вдобавок к шифрованию прикладного или сетевого уровня, есть шифрование прикладного уровня, которое использует Intel AES-NI. Например:

  • Базы данных можно шифровать
  • Почту можно шифровать
  • Службы управления правами используют шифрование
  • Сама файловая система может быть зашифрована (в отличие от шифрования на дисковом уровне).
  • Такие приложения, как Microsoft SQL могут использовать шифрование Transparent Data Encryption (TDE) для автоматического шифрования записей, внесенных в базу данных.

В конечном счете получается, что Intel AES-NI может значительно ускорить время транзакций и сделать покупателей более счастливыми, а сотрудников более продуктивными.

Полное шифрование диска зашифровывает диск полностью за исключением MBR. Вдобавок к Microsoft BitLocker, есть ряд других приложений шифрования диска, которые могут использовать Intel AES-NI, например PGPdisk. Проблема с полным шифрованием диска заключается в том, что оно может вызывать снижение производительности, в результате чего пользователи могут отказываться от использования данного метода шифрования. С Intel AES-NI это воздействие на производительность практически исчезает, и пользователи более охотно будут включать полное шифрование диска и использовать его преимущества.

Улучшение производительности

Так какие улучшения производительности мы на самом деле увидим с Intel AES-NI? Пока что трудно сказать точно, что данная технология может нам предложить, поскольку она довольно новая. Но компания Intel провела ряд собственных испытаний, результаты которых радуют:

  • При работе с банковскими интернет услугами на Microsoft IIS/PHP сотрудники компании обнаружили, что, сравнивая две системы на базе Nehalem, одна с шифрованием и одна без, был прирост в 23% пользователей, которых можно поддерживать на этой системе. Когда система Nehalem с шифрованием сравнивалась с non-Nehalem системой, улучшение в количестве поддерживаемых пользователей составило 4.5 раза. Это поразительные результаты!
  • В тесте шифрования / расшифровки базы данных Oracle 11g сотрудники компании обнаружили, что при сравнении двух Nehalem систем, одна с включенным шифрованием, другая – нет, система с включенным шифрованием показала 89% снижения времени на расшифровку 5.1 миллионов строк зашифрованной таблицы. Также наблюдалось 87% снижение времени на зашифровку таблиц типа OLTP и повторную вставку и удаление одного миллиона строк.
  • Полное шифрование диска может занимать массу времени для начального шифрования диска. Компания Intel обнаружила, что при шифровании Intel 32 ГБ SDD диска в первый раз с помощью шифрования конечной точки McAfee для ПК наблюдалось снижение времени первого заполнения на 42%. Это просто поразительная разница, которую вы определенно ощутите, если вам до этого доводилось ждать окончание процесса полного шифрования диска в первый раз.

Заключение

Шифрование теперь является требованием практически для всех в повседневной жизни. AES – это новый стандарт шифрования. Хотя шифрование позволяет нам защищать данные, оно может вызывать значительное потребление ресурсов и снижение производительности, а иногда оно может просто не позволять процессору выполнять остальные задачи, которые нам нужны. В прошлом с этой проблемой можно было справиться путем перехода на более мощный процессор или путем добавления процессоров, а также с помощью использования решений разгрузки. Однако все эти подходы имели встроенные ограничения. Новый стандарт Intel AES-NI значительно повышает производительность и безопасность путем перевода 6 новых инструкций, связанных с AES, на микросхему процессора. Это обеспечивает повышение производительности и безопасности в ряде ситуаций, таких как защищенные сети и сеансы прикладного уровня, защищенные транзакции и полное шифрование диска с минимальным воздействием или с полным отсутствуем такового на весь процесс использования. Intel AES-NI должен стать частью любого плана установки клиентских и серверных систем, в которых шифрование будет интенсивно использоваться, например когда DirectAccess подключается к корпоративной сети. Сочетание Nehalem архитектуры и технологии Intel AES-NI обещает коренным образом изменить компьютерный мир и улучшить работу пользователей и администраторов наряду с улучшением производительности.

Для дополнительной информации о процессорах серии Intel Xeon 5600 с Intel AES-NI перейдите по следующей ссылке.

AES (Advanced Encryption Standard instructions)

Инструкции AES – расширение системы команд процессора, разработанное в 2008 году компанией Intel с целью ускорения работы и повышения уровня защищенности программ, использующих алгоритм шифрования AES (Advanced Encryption Standard). Расширение AES включает 6 инструкций и впервые было использовано в процессорах Intel с ядром Clarkdale.

Алгоритм AES (также известный как алгоритм “Рэндал”) является симметричным алгоритмом блочного шифрования с размером блока 128 бит и ключом 128, 192 или 256 бит. В 2002 году он был принят правительством США в качестве официального стандарта шифрования. Сегодня это один из наиболее распространённых алгоритмов симметричного шифрования данных.

AES используется многими популярными программами с целью защиты конфиденциальной информации, в частности, приложением BitLocker, являющимся частью операционной системы Windows (начиная с версии Vista), почтовым клиентом The Bat!, программой защиты данных TrueCrypt и др.

Взломать AES весьма трудно и возможно только при наличии полного доступа к компьютеру, на котором происходило шифрование. Однако, если в процессор компьютера встроены инструкции AES, задача взлома становится почти невыполнимой.

Результаты тестирования также свидетельствуют, что встроенные в процессор инструкции AES существенно ускоряют процесс шифрования и расшифровки им данных по этому алгоритму (прирост производительности составляет от 30 до 1200 %, в зависимости от приложения и конкретной задачи).

Люди обычно оценивают процессор по количеству ядер, тактовой частоте, объему кэша и других показателях, редко обращая внимание на поддерживаемые им технологии.

Отдельные из этих технологий нужны только для решения специфических заданий и в “домашнем” компьютере вряд ли когда-нибудь понадобятся. Наличие же других является непременным условием работы программ, необходимых для повседневного использования.

Так, полюбившийся многим браузер Google Chrome не работает без поддержки процессором SSE2. Инструкции AVX могут в разы ускорить обработку фото- и видеоконтента. А недавно один мой знакомый на достаточно быстром Phenom II (6 ядер) не смог запустить игру Mafia 3, поскольку его процессор не поддерживает инструкции SSE4.2.

Если аббревиатуры SSE, MMX, AVX, SIMD вам ни о чем не говорят и вы хотели бы разобраться в этом вопросе, изложенная здесь информация станет неплохим подспорьем.

В таблицу можно одновременно добавить до 6 процессоров, выбрав их из списка (кнопка “Добавить процессор”). Всего доступно больше 2,5 тыс. процессоров Intel и AMD.

Пользователю предоставляется возможность в удобной форме сравнивать производительность процессоров в синтетических тестах, количество ядер, частоту, структуру и объем кэша, поддерживаемые типы оперативной памяти, скорость шины, а также другие их характеристики.

Дополнительные рекомендации по использованию таблицы можно найти внизу страницы.

В этой базе собраны подробные характеристики процессоров Intel и AMD. Она содержит спецификации около 2,7 тысяч десктопных, мобильных и серверных процессоров, начиная с первых Пентиумов и Атлонов и заканчивая последними моделями.

Информация систематизирована в алфавитном порядке и будет полезна всем, кто интересуется компьютерной техникой.

Таблица содержит информацию о почти 2 тыс. процессоров и будет весьма полезной людям, интересующимся компьютерным “железом”. Положение каждого процессора в таблице определяется уровнем его быстродействия в синтетических тестах (расположены по убыванию).

Есть фильтр, отбирающий процессоры по производителю, модели, сокету, количеству ядер, наличию встроенного видеоядра и другим параметрам.

Для получения подробной информации о любом процессоре достаточно нажать на его название.

Проверка стабильности работы центрального процессора требуется не часто. Как правило, такая необходимость возникает при приобретении компьютера, разгоне процессора (оверлокинге), при возникновении сбоев в работе компьютера, а также в некоторых других случаях.

В статье описан порядок проверки процессора при помощи программы Prime95, которая, по мнению многих экспертов и оверлокеров, является лучшим средством для этих целей.

Название модели обычно наносится производителем прямо на процессор. Так что если он пока еще не установлен в сокет материнской платы и не прикрыт сверху системой охлаждения, получить необходимые сведения можно из маркировки на его крышке.

Ну а если процессор уже стоит в системном блоке, узнать его модель можно несколькими способами. Некоторые из них работают только в Windows. Другие – подходят для случаев, когда Windows на компьютере отсутствует или не запускается.


ПОКАЗАТЬ ЕЩЕ

Учимся настраивать БИОС

Многие считают BIOS отдельной микросхемой на материнской плате. На самом деле базовая система ввода/вывода представляет собой набор микропрограмм, записанный на постоянное запоминающее устройство (ПЗУ). Именно его часто называют «биосом».

В момент включения компьютера программы, содержащиеся в ПЗУ, обеспечивают возможность работы и первичной настройки всех компонентов компьютера. Они задают параметры и передают на контроллеры соответствующие команды для управления компонентами. Некоторые детали компьютеров имеют собственные BIOS, и связь с ними обеспечивается через подобную систему на материнской плате. Поэтому взаимодействие с жестким диском, Flash-накопителем или sdd возможно еще до запуска операционной системы (ОС).

Кратко подытожив, базовая система выполняет следующие функции:

  • Оценка работоспособности оборудование в момент включения питания;
  • Последующая загрузка ОС;
  • Настройка базовых параметров оборудования пользователем;
  • Первичные драйвера для работы устройств также входят в систему BIOS, ОС пользуется ими до полной своей загрузки.

Во время предварительной загрузки информацию о состоянии компьютера можно оценить по звуковому сигналу. Ошибки загрузки обозначаются разными сигналами.

Базовые настройки системы ввода-вывода

Для доступа к меню настройки BIOS необходимо зажать соответствующую клавишу при загрузке компьютера. Она зависит от производителя компьютера, но чаще всего Del, F2, F8 или F10. При этом дальнейшая загрузка ОС прекращается, и пользователь видит перед собой базовый интерфейс для настройки или получения информации.

Для входа в интерфейс на продукции компании ASUS используется клавиша F2, которая зажимается перед нажатием на кнопку включения. При работе с Windows 10 существует возможно вызвать интерфейс базовой системы перед перезагрузкой ОС. Shift+пункт «Перезагрузка» в меню выключения. В сервисном меню ОС необходимо выбрать пункт «возврат к заводским настройкам и дополнительные», далее дополнительные возможности и «запуск интерфейса UEFI после перезагрузки».

Навигация в режиме настройки BIOS осуществляется с помощью клавиш стрелок, выбор пункта Enter, а изменение значения +/-. При нажатии F1 появляется помощь, F9 возвращает первоначальные настройки, а F10 вызывает выход из интерфейса с сохранением настроек. Для выхода без сохранения настроек необходимо нажать Esc.

Главное меню (Main)

Этот экран появляется после входа в настройки BIOS и содержит основную информацию о компьютере и базовой системе. Для изменения на нем доступны только системное время и дата (System time и system date), эти пункты подсвечены синим. Они даны в следующем формате: день недели и системное время . В пунктах информации о «железе» доступны данные о производителе процессора, его наименовании и тактовой частоте в GHz (пункт Processor Information). Также указан размер установленной оперативной памяти в MB.

Кроме этого, для удобства пользователя, в правой части экрана в двух окнах указывается, в верхнем, краткая информация о пункте, на котором установлен курсор, а в нижнем – памятка о клавишах управления.

Последовательно на главном экране указана следующая информация о производителях и версиях:

  • Производитель BIOS. Пункт Bios Vendor.
  • Версия базовой системы, или Version.
  • GOP Version. Версия первичного графического контроллера (GOP). Он помогает опознать дискретную видеокарту и предоставляет базовые микропрограммы для работы с ней со стороны материнской платы.
  • Версия первичного контроллера (EC Version). Он выполняет простейшие действия при запуске персонального компьютера;
  • Серийный номер операционной системы или Serial Number. Он необходим для использования лицензионной версии на данном компьютере;
  • Уровень доступа пользователя интерфейсом (Access Level). Без изменения параметров безопасности обычно здесь обозначен администратор.

Информация, указанная здесь, не имеет для большинства пользователей никакой пользы. Но во время апгрейда компьютера без замены материнской платы, она становится необходима. По ней можно узнать о совместимости оборудования с новыми комплектующими. Если новая видеокарта отказывается работать, существует возможность обновления BIOS до версии, поддерживающей новое «железо».

При сбросе настроек также происходит сброс системного времени, находясь на этом экране необходимо установить текущею дату и время.

Продвинутые настройки (Advanced)

Раздел меню, позволяющий выполнить тонкую настройку базовой системы. В него входит достаточно большое количество подпунктов, которые варьируются от версии к версии:

  • Easy Flash. Начало обновления с Flash-накопителя. Полезный подпункт запускающий процедуру обновления BIOS непосредственно файлом на HDD компьютера
  • Для включения/выключения сенсора на тачпаде предусмотрена строка Internal Pointing Device. Если установить значение Disable работа с ноутбуком без отдельной мышки станет невозможна.
  • За активацию ноутбука при поднятии крышки отвечает строка Wake On L >

Меню загрузки (Boot)

В нем пользователь устанавливает порядок загрузки информации с внешних запоминающих устройств. Здесь также можно выбрать приоритетную загрузку операционной системы при наличии в компьютере двух или более систем. До недавнего момента в этом пункте находилось только разрешение на загрузку с диска или флешки и подменю приоритетной загрузки систем. Два последних пункта отвечали за добавление к загрузочной схеме дополнительных устройств и удалении ненужных.
С постепенным переходом после выхода Windows 8 и 10 на UEFI появляется дополнительный пункт, называющийся Secure Boot, который не позволяет загружать программное обеспечение с неизвестных источников. Это может сильно осложнить запуск ОС с загрузочной флешки или загрузочного диска, даже если они полностью работоспособны. Поэтому при переустановке системы стоит отключить этот пункт.

Быстрой загрузке системы помогает функция Fast Boot, которая обычно всегда включена. За активацию режима совместимости отвечает подпункт Launch CSM, он необходим для тех пользователей, которые хотят переустановить ОС, возможно даже предыдущей версии.

Безопасность (Security)

Безопасность позволяет установить пароли различных уровней при загрузке базовой системы, после ее загрузки и при доступе к HDD-диску.

Первый подпункт отвечает за установку пароля на вход в интерфейс настройки BIOS, при этом возможно разделить заходящих на администраторов и пользователей. Администратор обладает правами изменять все настройки системы, в то время как пользователь сильно ограничен в правах.

За установку паролей отвечают строки Set Administrator Password и Set User Password. После их установки меняются соответствующие пункты Status. Для пароля к HDD принцип схож: строки Set Master Password и Set User Password устанавливают пароли, строка Status сообщает об их наличии.

Меню выхода из интерфейса (Save & Exit)

При окончании работы с интерфейсом настройки базовой системы или получении всей необходимой информации пользователь переходит в этот подпункт.

Далее необходимо выбрать из имеющегося:

  • Выход без сохранения настроек (Discard Changes and exit);
  • Возврат к первоначальным или заводским настройкам (Restore Defaults);
  • Выход с сохранением всех изменений (Save Changes and Exit);
  • Сохранение изменений, внесенных при последнем сеансе(Save Changes);
  • Удаление изменений (Discard Changes).

Пункт Boot Override позволяет вручную выбрать загружаемую ОС, в случаях, когда их на одном жестком диске больше одной.

Launch EFI shell from file позволяет загружать ОС на жесткий диск с внешних устройств. При этом необходимо использовать оболочку EFI, которая должна находиться на съемном носителе.

Устранение неполадок в BIOS

Большинство пользователей не могут навредить базовой системе своими действиями. Первые проблемы начинаются при попытке улучшения компьютера или ноутбука.

При наращивании количества оперативной памяти или установке новой видеокарты желательно обновить BIOS до самой новой версии. Это поможет избежать аппаратной несовместимости. Обычно в этом случае компьютер просто отказывается видеть новое устройство. После успешной «перепрошивки» ПЗУ данная проблема исчезает.

Для инициализации этой процедуры необходимо использовать либо внутренние подпрограммы, такие как Easy Flash, либо программы в ОС. На сайте производителя компьютера необходимо найти более современную версию БИОСа. Желательно также проверить, будет ли она поддерживать устанавливаемое оборудование, прочитав описание версии.

Обновление версии базовой системы может привести к несовместимости с уже установленным оборудованием, так как ПЗУ имеет ограниченный объем и поддержка новых устройств возможна только за счет удаления из нее информации об устаревших. По этой причине обновление BIOS показано только в случае установки нового оборудования, а при работе компьютера стабильно и отсутствии изменений «профилактическое» перепрограммирование не желательно.

Во время процедуры перезаписи не должно происходить отключения компьютера от сети. Если это произошло, восстановление информации в ПЗУ будет сильно затруднено, скорее всего невозможна и тогда необходима помощь специалиста. Работы по изменению программного обеспечения материнской платы являются ремонтом, поэтому пользователь проводит их на свой страх и риск, лишаясь гарантии при неправильно проведенном.

При установке пароля в базовой системе и невозможности ее настройки для восстановления работоспособности компьютера специально была оставлена возможность аппаратного сброса на заводские параметры. Эта возможность связана с особенностями хранения настроек BIOS. Сама система записана на ПЗУ, а ее настройки находятся в другой памяти, называемой CMOS. Для ее очистки следует найти перемычку или джампер около батарейки системного питания (для работы часов при выключенном компьютере). Также помогает извлечение этой батарейки, если она съемная.

Некоторые материнские платы позволяют настроить шум, издаваемый кулером благодаря регулированию числа оборотов вентилятора. Это полезно при использовании ПК в офисе, где достаточно высок уровень шума, а задачи, выполняемые компьютером, не приведут к перегреву процессора.

Для любителей разгона компонентов системы работа с параметрами BIOS/UEFI становится рутинным занятием. В продвинутых версиях можно настраивать тонкие параметры напряжения и частот прямо через интерфейс базовой системы. Подразумевается, что пользователь знает о последствиях грубой работы с этими параметрами. Обычно такие настройки доступны для дорогих моделей процессоров, материнских плат и видеокарт.

Поступление в продажу SSD-накопителей не решило проблемы работы с огромными объемами данных, которые необходимо быстро считывать с жестких дисков. В этом случае используется технология RAID. Для этого два и более диска объединяются, и информация распределяется по ним согласно специальным алгоритмам. Таким образом можно получить значительный рост скорости и чтения информации. Большая часть настройки происходит в интерфейсе BIOS.

Ссылка на основную публикацию
Adblock
detector