賽靈思近期宣布加入了保密計算聯盟（ CCC ），致力于幫助驅動將保密計算擴展至加速器和 SmartNIC 的工作。

在深入挖掘賽靈思為何加入該聯盟之前，也許我們應該解釋一下什么是保密計算，以及保密計算聯盟有哪些成員公司。

與物質一樣，數據也有三種存在形態：閑置、傳輸和使用。過去幾十年里，標準設立機構和技術公司一直在積極強化前兩種形態的保密性。由于保密經常涉及到加密，因此，如今的閑置數據采用 AES-XTS 等加密算法，而傳輸中的數據則使用 SSL、TLS 和 IPsec 等技術。下一步，我們通過首先加密文件、然后加密邏輯卷和物理驅動器來保障閑置數據的安全。黑客通常不會滿足于使用現成工具，他們得意于發現新的系統攻破方法。甚至在暗網（ Dark Web ）上，黑客還會炫耀自己發現的用于攻破系統的新方法，有時候還會共享成果。黑客通過捕捉并攻破數十年來未曾使用的代碼，制造出了破殼漏洞安全漏洞。接著，黑客開始探索系統的架構單元（如存儲器），并制造出熔毀式硬件漏洞。隨后他們便攻入 CPU，發現可以通過糊弄 CPU 寄存器，利用推測執行來制造影響微處理器的幽靈型漏洞。這就是保密計算的用武之地。

保密計算旨在保障數據在存儲器中、在與主機 CPU 的往復傳遞中以及最終在主機 CPU 執行過程中的安全。保密計算通過創建基于硬件的可信執行環境 (TEE) 達到這個目的。去年春季，Linux 基金會意識到人們對公有云的廣泛依賴需要更先進的綜合性安全方法，因而成立了保密計算聯盟。聯盟的高級成員包括埃森哲、螞蟻集團、ARM、Facebook、谷歌、華為、英特爾、微軟和紅帽（ Redhat ）。此外還有十多家普通成員，包括 AMD、英偉達和 VMware 等。

保密計算可以通過在硬件中構建整體 TEE 來實現。三大主要 CPU 平臺廠商（英特爾、AMD 和 ARM） 都支持 TEE。為此，英特爾推出了軟件保護擴展 (SGX) ，AMD 推出了安全加密虛擬化 (SEV)，ARM 則推出了TrustZone。這三種 TEE 平臺都可以供開發者使用，但是每一種有各不相同，這也就意味著為 SGX 編寫的代碼不能在 AMD 處理器上運行。那么，賽靈思技術能起到什么作用？我們的目標是要了解如何將 TEE 擴展至加速器卡上，或提供一種方法，以便在主機 TEE 和加速器卡上運行的 TEE 之間安全地交接數據和代碼。

目前，賽靈思數據中心事業部（ DCG ）正著手探索兩種途徑。首先，借助賽靈思與 AMD 的有力合作，我們正在探索 SEV，以更好地了解如何將其用于 DCG 未來的加速器產品計劃。第二種途徑涉及我們對 ARM 核心設計的授權，我們眾多的芯片都采用了 ARM 核心設計，用于處理控制平面任務。ARM 向 CCC 提議的其他幾個研究項目也正在進行中，這些項目將進一步擴展 TrustZone，讓我們能夠更輕松地保障加速器卡執行環境的安全。我們已經開始與 ARM 團隊進行探討，并希望在接下來的幾個月里，隨著我們開始制定未來的安全計劃，進一步掌握有價值的信息。

我們相信 CCC 的貢獻將推動行業大步向前，利用下一代云端與邊緣計算應用的計算可信性與安全水平，進一步為數據中心解決方案提速。

責任編輯：lq