News AMD vertieft Zusammenarbeit mit ARM und übernimmt 2013 deren TPM-Lösung Trustzone für die Kabini-APU und für alle zukünftigen Designs ab 2014

Opteron

Redaktion
☆☆☆☆☆☆
Mitglied seit
13.08.2002
Beiträge
23.645
Renomée
2.254
  • SIMAP Race
  • Spinhenge ESL
  • BOINC Pentathlon 2012
<div class="newsfloatleft"><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?id=1339667038"><img src="http://www.planet3dnow.de/photoplog/images/54308/1_AMD-Logo.png" border="0" alt="AMD-Logo"></a></div><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?id=1339584790">Wie wir gestern erst berichteten übernimmt ARM AMDs Prozessorschnittstellen</a>, die diese im Rahmen der HSA-Allianz freigegeben haben. Nun scheint dieser Technologieaustausch aber keine Einbahnstraße zu sein. AMD gab heute bekannt, dass sie ihrerseits ARMs Sicherheitserweiterung "Trustzone" übernehmen. Diese ist bereits seit langem am Markt etabliert und kann bis aufs Jahr 2004 zurückverfolgt werden. Dabei handelt es sich um ein Technik die einen geschützten Datenaustausch z.B. zu DRM-Zwecken, sicherem Bezahlen im Internet, oder internet-basierte Wahlen ermöglichen.

Erste Hinweise darauf gab es zum Finanzanalysten-Tag Anfang Februar, auf dem für zukünftige Prozessoren bereits ganz allgemein die Technologie-Integration von Drittanbietern genannt wurde.

<center><img src="http://www.planet3dnow.de/photoplog/file.php?n=20690&w=l"></center>

<b>Grundlegendes</b>

Trustzone kennt zwei Betriebsmodi, die sogenannte "normale Welt" (normal world), auch rich execution environment (REE) genannt und die "sichere Welt" (secure world), auch trusted execution environment (TEE) genannt. Zuerst ein Übersichtsschema für den Normalleser

<center><img src="http://www.planet3dnow.de/photoplog/file.php?n=20692&w=l"></center>

und dann noch ein etwas detaillierteres Schema für den besser informierten Leser:

<center><img src="http://www.planet3dnow.de/photoplog/file.php?n=20696&w=o"></center>

Aufgrund der beiden Betriebsmodi, die auf einem einzigen Kern laufen, könnte man zu Vergleichen mit Intels Hyperthreading verführt sein, jedoch laufen keine zwei Threads parallel bzw. gleichzeitig, sondern nur einer, wobei die beiden Modi durch einen einfach Kontext-Wechsel gewechselt werden. Die Ähnlichkeit besteht also eher mit einem Einzelkern-Prozessor, auf dem durch Multitasking scheinbar mehrere Applikationen wie z.B. Webbrowser, Internetradio und sonstige Anwendungsprogramme gleichzeitig laufen.

<b>Übersicht aller notwendigen Voraussetzungen</b>
Im folgenden Bild sieht man die Bedingungen, die erfüllt werden müssen, um Trustzone zu implementieren:

<center><img src="http://www.planet3dnow.de/photoplog/file.php?n=20693&w=l"></center>

Man beachte v.a. die "Trustzone Software", dabei handelt es sich um ein geschlossenes Betriebssystem, <a href="http://www.arm.com/products/secure-services/secure-os-partners/index.php" target="b">von denen es im Moment zwei gibt</a>. Eines ist "Mobicore" des in München residierenden Herstellers <a href="http://www.gi-de.com/en/trends_and_insights/mobicore/mobicore_1/mobicore.jsp" target="b">Giesecke & Devrient</a> (bekannt durch das Drucken diverser Banknoten), das andere ist das <a href="http://www.tl-mobility.com/spip.php?article252" target="b">"Trusted Execution Environment" der niederländischen Firma Trusted Logic Mobility / Gemalto. </a>

Laut ARM kommt man so einfach in drei Schritten zum TEE-System:
<center><img src="http://www.planet3dnow.de/photoplog/file.php?n=20694&w=o"></center>


<b>Integration der Technik</b>
Man könnte nun vermuten, dass AMD seine x86-Kerne entsprechend nachrüstet, allerdings wäre dies ein tiefer Eingriff in die Architektur. Deswegen geht AMD den einfacheren Weg und integriert ganz simpel einen kompletten <a href="http://www.arm.com/products/processors/cortex-a/cortex-a5.php" target="b">ARM-Cortex-A5 -Prozessor</a>. Diese CPU ist vergleichsweise winzig, in einer früheren Präsentation gibt ARM die Die-Größe ohne L2-Cache und in einem 40nm Prozess mit nicht einmal 1 mm² an:

<center><img src="http://www.planet3dnow.de/photoplog/file.php?n=20691&w=l"></center>

Die "Normalwelt" aus dem zweiten Bild oben wird also von den üblichen x86-Kernen und die sichere Welt nur aus dem ARM-A5-Kern bestehen.

In der Frage- und Antwort-Runde des gestrigen ADFS-Tages gab AMD auch bekannt, dass der ARM-Prozessor exklusiv als Sicherheits-Coprozessor genutzt werden wird. Der Betrieb mit normalen ARM-Code oder Programmen ist also nicht möglich.

<b>Marktlage</b>
AMDs Mitbewerber <a href="http://ipt.intel.com/welcome.aspx" target="b">Intel hat bereits mit der Sandy-Bridge Generation eine vergleichbare Lösung Namens IPT</a> (Identity Protection Technology), und konnte bereits namhafte Kunden in Form des Steam-Portals und Master-Card gewinnen. Allerdings ist der Verbreitungsgrad von Sandy-Bridge-Hardware im Vergleich zu den Trustzone-fähigen ARM-CPUs vergleichsweise klein. Somit hat die AMD/ARM-Lösung einen klaren Verbreitungsvorteil.

<b>Fahrplan</b>
In der bereits erwähnten Frage- und Antwortrunde wurde auch das Geheimnis gelüftet, welche APU ab 2013 als erstes mit der ARM-Technologie ausgeliefert wird. Es handel sich dabei um den low-end Zacate-Nachfolger Kabini, der laut AMD-Mitarbeiter spät in 2013 kommen soll. Grund hierfür dürfte sein, dass Kabini wie die ARM-Cores auf computergestützten Layouts basieren. Vereinfacht gesagt füttert man einen Layoutcomputer einfach mit den zusätzlichen ARM-Daten und dieser entwirft dann den Bauplan für das komplette SoC. Ab 2014 will AMD das komplette Produkt-Portfolio umgestellt haben.
Zusätzlich wurde noch auf zwei morgige Vorträge verwiesen. Falls dort noch weitere Inforationen auftauchen sollten, werden wir diese Meldung aktualisieren.

<b>Problematisches</b>
Die offene Frage bei der ganzen Sache ist, inwieweit der Benutzer die Kontrolle über seinen Rechner behält. Im schlimmsten Fall - nämlich dann, wenn die angeblich sichere Lösung doch geknackt wird - haben Unbekannte über den vermeintlich sicheren ARM-Prozessor schnell Zugriff aufs gesamte Computersystem. Denkbar wäre aber auch ein erlaubter Zugriff, z.B. von Geheimdiensten etc. über Backdoors. Lesenswert in diesem Zusammenhang ist der entsprechende Artikel bei unseren Kollegen von 3DCenter:
<a href="http://www.3dcenter.org/artikel/trusted-computing-reloaded-intels-manageability-engine" target="b">Trusted Computing reloaded: Intels Manageability Engine (Deutsch)</a>

<b>Windows 8</b>
Mit ein Grund für AMDs ARM-Lizenz dürfte Windows 8 sein. Nachdem schon lange bekannt ist, dass das nächste Windows erstmals auch zu ARM-Geräten kompatibel ist, unterstützt es von Haus aus auch ARMs Trustzone-Erweiterung. Bei Microsoft gibt es diesbezüglich ein Demo zu sehen - ironischerweise läuft es auf einem ARM-SoC von Nvidia (ab Minute ~30):
<a href="http://channel9.msdn.com/Events/BUILD/BUILD2011/HW-462T" target="b">Building hardware-based security with a Trusted Platform Module (TPM)</a>

<a href="http://www.heise.de/ct/artikel/Logo-Korsett-1421527.html" target="b">Heise berichtet im Zusammenhang</a> mit zukünftigen ARM-Tablets auch von erzwungenen Softwarevorgaben. So wäre es nicht erlaubt, Linux auf entsprechenden Geräten zu installieren. Ob dies nun auch für zukünftige AMD-ARM Hybride gilt, bleibt abzuwarten.

<b>Fazit</b>
Hurra, TPM gibts jetzt auch für AMD, ARM sei Dank - nein, leider nicht. Viele unbedarfte Bürger werden sich zwar über Trustzone freuen, da es einige komfortable Dienstleistungen erlaubt und z.B. bei Bankgeschäften zusätzliche Sicherheit bestimmt nicht verkehrt ist. Informierten Zeitgenossen könnte die sogenannte Sicherheit aber ziemlich schnell sauer aufstoßen und in Nutzer-Gängelung ausarten. Wer sich einen neues Tablet-PC kauft, hat dafür bezahlt und kann damit machen was er will - sollte man meinen. Leider nein, schlimmstenfalls kann ein Hersteller mit Trustzone noch weitere Schranken aufbauen, und z.B. die Softwarewahl auf bestimmte, teuere Programme einschränken. Dies ermöglicht z.B. Geschäftsmodelle ähnlich denen von Spielkonsolen. Die Hardware wird relativ billig unter Wert verkauft und über den herstellereigenen Spiele-Shop wird abkassiert.

Insgesamt ist der Anwendernutzen somit fraglich, das Risiko einer "Verschlimmbesserung" steht im Raum. Bleibt zu hoffen, dass man Trustzone wenigstens deaktivieren kann.

<b>Quellen:</b><ul><li><a href="http://www.arm.com/files/pdf/Tech_seminar_TrustZone_v7_PUBLIC.pdf" target="b">ARM PDF zu Trustzone</a></li><li><a href="http://www.planet3dnow.de/vbulletin/showthread.php?t=405807">AMD Pressemitteilung</a></li><li><a href="http://www.globalplatform.org/documents/GlobalPlatform_TEE_White_Paper_Feb2011.pdf" target="b">TEE White Paper</a></li><li><a href="http://www.globalplatform.org/specificationdownload.asp?id=7762" target="b">TEE Internal Spec.</a></li><li><a href="http://www.globalplatform.org/specificationdownload.asp?id=7763" target="b">TEE Systemarchitektur</a></li></ul>

<b>Links zum Thema:</b><ul><li><a href="http://blogs.arm.com/smart-connected-devices/740-arm-amd-partner-on-security-promote-client-to-cloud-ecosystem/" target="b">ARM-Blog-Eintrag</a></li><li><a href="http://www.globalplatform.org/specificationdownload.asp?id=7763" target="b"> Systemarchitektur - PDF</a></li><li><a href="http://www.heise.de/ct/meldung/Windows-8-Trusted-Platform-Module-als-virtuelle-SmartCard-1347604.html" target="b">heise: Windows 8: Trusted Platform Module als virtuelle SmartCard</a></li><li><a href="http://www.heise.de/ct/artikel/Logo-Korsett-1421527.htmll" target="b">heise: Hardware-Vorgaben für Systeme mit vorinstalliertem Windows 8</a></li></ul>
 
Also ich sehe das sehr kritisch.

Microsoft steht ja nicht gerade im Ruf ausgereifte Software anzubieten, von Vieren einmal ganz abgesehen.

Bei Windows 7 is es mir schon passiert das das Sys nicht mehr gebootet hat, und sich selber nicht mehr reparieren konnte. Wie geht man dann vor wenn man nur noch ein Taplet hat? Normal liegt ja nur eine DVD bei mit der man ohne Laufwerk nichts anfangen kann. Linux zur Datenrettung lässt sich auch nicht mehr booten.:]

Für den "Normalen User" ist das nicht mehr machbar, er müsste zum Fachhändler oder einem der sich damit auskennt.

Für jemanden der schon Erfahrungen mit Windows gemacht hat wird sich mit dem Kauf doch sehr schwer tun.

Bin gespannt ob MS im Tapletmarkt Fussfassen kann. Im Smartphonemarkt kommen sie auch nicht richtig in Fahrt.
 
Wie geht man dann vor wenn man nur noch ein Taplet hat? Normal liegt ja nur eine DVD bei mit der man ohne Laufwerk nichts anfangen kann. Linux zur Datenrettung lässt sich auch nicht mehr booten.:]


Du kannst über USB booten - wenn Du den USB Stick zuvor zertifizieren konntest *lol*
Also alles ganz einfach *G*
 
Dann wird ja D3 endlich mal sicher. Sofern Blizzard das TPM Modul nutzt ;D
 
Fahrplan
In der bereits erwähnten Frage- und Antwortrunde wurde auch das Geheimnis gelüftet, welche APU ab 2013 als erstes mit der ARM-Technologie ausgeliefert wird. Es handel sich dabei um den low-end Zacate-Nachfolger Kabini, der laut AMD-Mitarbeiter spät in 2013 kommen soll. Grund hierfür dürfte sein, dass Kabini wie die ARM-Cores auf computergestützten Layouts basieren. Vereinfacht gesagt füttert man einen Layoutcomputer einfach mit den zusätzlichen ARM-Daten und dieser entwirft dann den Bauplan für das komplette SoC. Ab 2014 will AMD das komplette Produkt-Portfolio umgestellt haben.
Ein Kabini im 2H 2013 wäre eine Kleine Katastrophe. Bisher ging man von Anfang 2013 aus, vorallem da Krishna gecancelt wurde.
Die Verschiebung verstehe ich nicht ganz.
a) Kabini mit ARM A5 wird doch nicht das Wunder bringen, als Kabini ohne A5, was eine Verspätung rechtfertigen würde
b) Ontario war auch Computerutnerstütz, Kabini detto. Also, sollte es doch erst recht schnell gehen, auch wenn ein A5 dazueditiert wurde.
 
Ein Kabini im 2H 2013 wäre eine Kleine Katastrophe. Bisher ging man von Anfang 2013 aus, vorallem da Krishna gecancelt wurde.
Die Verschiebung verstehe ich nicht ganz.
a) Kabini mit ARM A5 wird doch nicht das Wunder bringen, als Kabini ohne A5, was eine Verspätung rechtfertigen würde
b) Ontario war auch Computerutnerstütz, Kabini detto. Also, sollte es doch erst recht schnell gehen, auch wenn ein A5 dazueditiert wurde.
Hat mich auch gewundert, vielleicht gibts 2 Kabini, einen mit aktivem ARM-Kern und einen ohne.
Könnte mir durchaus vorstellen, dass das Testen und Anpassen der ganzen Sicherheitssoftware noch etwas länger braucht, man in der Phase aber schon "normale" Kabinis verkaufen könnte.

Aber pure Spekulation ... schlimmstenfalls weiß der AMD Type mehr als wir ... :(

In ein paar Minuten solls ne Roadmap geben, mal schauen, vielleicht ist man danach schlauer.
 
naja schlauer ist man daraus nicht geworden, hoffe das sie das gleich machen wie bei Bd wo si im August/September auch die neuen Apus rausgebracht haben, mit den zuvor deaktivierten teilen aktiviert. Noch ein mehr auf den alten brazzaville rumreiten macht ja kein Sinn, Intel wird sicher bis Mitte jahr die konkurrenz aufrüsten.
 
Interessant wäre noch ob der ARM-Kern auch im ausgeschalteten Zustand aktiv ist. Und so wer auch immer Vollzugriff auf die Daten auf der Festplatte (SSD) erlangen kann.

Als User bekommt man dann garantiert nichts mehr mit.

Die Motivation für Hacker wäre dann auch sehr groß, da man Betriebssystem unabhängig einen Zugang zu Massen an PC´s hat und die quasi vernstäuern kann.

Es kommt mir so vor als ob man das Schlachtfeld für den nächsten Cyperwar aufbaut.
 
Zuletzt bearbeitet:
Anstatt den Bulldozer mal in Ordnung zu bringen, stecken die Zeit und Geld in so einen Trust-Müll 8-(

Vielleicht gelingt AMD ja die Bauernfängerei und es wird ein Verkaufsschlager - ich werde so etwas nicht kaufen.
Hatten nicht gerade vor ein paar Wochen Experten bei nem Google-Wettbewerb gezeigt, wie sie aus ner Sandbox (virtuelle Maschine) mit Hilfe von 14 verschiedenen Bugs ausbrechen? Und jetzt kommt AMD und erzählt, dass es mit noch einer zusätzlichen Komplexitätsebene natürlich total sicher wird... *noahnung* bisher hat es immer nur die Angriffsmöglichkeiten durch neue Softwarefehler erweitert.
 
Ich würd' das nicht so eng sehen.
Bei Google bekommt man auch nur noch das zu Gesicht, was die kommerzielle Fraktion davon über läßt. Die Ergebnisse sind natürlich ebenso kommerziell orientiert. Was du suchst wird dir auch schon vorgegeben bzw. vervollständigt. Die Ergebnisse werden an Hand deiner vorherigen Suchanfragen und tracking files von überall, extra und explizit nur für dich generiert.
Industrielle Assimilation ist der Trend. Alle wichtigen Menschen haben das schnell erkannt und sind nicht umsonst Mitglieder bei sozialen Portalen geworden, welche all deine Daten für dich kostenlos speichern. Solltest du mal etwas vergessen, wird das entsprechende Portal bei Anfrage Dritter sicher wieder Licht ins dunkle bringen können. Damit weiß der Anfrager schon mehr wie du und man braucht sich um nichts mehr zu kümmern. -Genial-
Den geschulten Redelsführern, sei es aus Politk-, Militär- o. gewerbl. Bereichen braucht man sich lediglich anzuschließen. Eine eigene Meinung braucht es nicht mehr. Einfach mal was anklicken, dann kann man sich nach kurzer Zeit ein Bild deiner Gesinnung zu legen. Ist doch einfach, macht Spaß man findet Freunde und bei Nachfragen einfach wieder auf den Text der Erstellers verlinken.
Mit Hilfe von trusted Modulen weiß man zudem immer was rechtens ist und was nicht, falls man es mal vergessen hat. Die Industrie hilft vorbeugen mußt du!
Auch wenn man die trusted Geschichte nicht abschalten kann, keinen Zugriff drauf bekommt und nicht weiß was im Hintergrund passiert, was solls, das Netz ist ja mittlerweile auch nur noch gewerblich, das passt schon. Widerstand könnte morgen schon als Terror gewertet werden, ist aber zumindest uncool. Also kommt zur Besinnung und fügt euch.
 
Vielleicht entsteht Parallel zu Open Source, Open Hardware.

Mit GNU/Linux kann man bis jetzt das ganze klimpimps mit Überwachung, Viren und Komerz aus seinem Leben verbannen. Ich hoffe mal das das weiterhin so bleibt.
 
Mit GNU/Linux kann man bis jetzt das ganze klimpimps mit Überwachung, Viren und Komerz aus seinem Leben verbannen. Ich hoffe mal das das weiterhin so bleibt.
Aber auch nur solange es eine Minderheit betreibt. Das sieht man ja auch schön bei den aufkommenden Schadprogrammen für MAC OS und iOS;)
Weit von Linux ist man damit nicht mehr entfernt...
 
...mir wird schlecht*drooling*
Vielleicht bin ich ja auch nur zu sehr "1984" Geschädigt...:-/ , aber toll sieht die Zukunft nicht aus.
Wenn man sich jetzt schon ansieht wie die ganzen Facebook.- und Android-App-etc-Nutzer, ohne Nachzudenken über ihre Datensicherheit diese Plattformen/Hardware benutzen, dann kann das nicht gut ausgehen *nosorry*

Wehe dem, der dem "System" missfällt...

Grüße,
stolpi
 
Das ist ggf. wohl wahr und durchaus ein gutes Thema, aber nicht das hiesige;)
 
Das ist ggf. wohl wahr und durchaus ein gutes Thema, aber nicht das hiesige;)


...konnte mich nicht zurückhalten;D...

Gibt es hier irgendwo schon ein Thread zu diesem Thema, wo man sich Ausheulen Aufklären kann?



Grüße,
stolpi
 
Zurück
Oben Unten