А лет 10 назад читал статью про модификацию для FreeBSD, которая ключи держит в кэше процессора и они вообще не утекают в память, вроде там был даже небольшой пенальти на производительность, типа 3-5%. И пользовательский софт не надо переписывать. Думал, что за 10 лет, подобная фишка вошла уже во все основные ОС, кэши же только выросли.
Аналогично защищаются игровые консоли, то есть память шифрована, но сразу на уровне процессора. Не значит, что их не взламывают.
Конечно, крупный облачный провайдер, наверно может поставить кастомные процессоры которые будут сливать ему дамп кэша, да, в принципе, есть и эксплойты на дамп кэша процессора.
По итогу, оперативная память для процессора по скорости не принципиально отличается от жесткого диска, особенно, твердотельного, а жесткие диски все шифруют в облаке, соответственно можно шифровать и оперативную память. Процессор же непосредственно работает только со своим кэшем.
А data-in-motion и должна серьезно защищаться, в противном случае легко представляю себе картинку, когда злоумышленний прослушивал бы WiFi предприятия, или перетыкал бы ethernet кабеля под столом в свой роутер с последующим дампом и анализом трафика.
no subject
Date: 2021-11-25 08:25 am (UTC)Думал, что за 10 лет, подобная фишка вошла уже во все основные ОС, кэши же только выросли.
Аналогично защищаются игровые консоли, то есть память шифрована, но сразу на уровне процессора. Не значит, что их не взламывают.
Конечно, крупный облачный провайдер, наверно может поставить кастомные процессоры которые будут сливать ему дамп кэша, да, в принципе, есть и эксплойты на дамп кэша процессора.
По итогу, оперативная память для процессора по скорости не принципиально отличается от жесткого диска, особенно, твердотельного, а жесткие диски все шифруют в облаке, соответственно можно шифровать и оперативную память. Процессор же непосредственно работает только со своим кэшем.
А data-in-motion и должна серьезно защищаться, в противном случае легко представляю себе картинку, когда злоумышленний прослушивал бы WiFi предприятия, или перетыкал бы ethernet кабеля под столом в свой роутер с последующим дампом и анализом трафика.