1. Предыстория

Конфиденциальные вычисления защищают используемые данные, выполняя вычисления в аппаратной, аутентифицированной и доверенной среде выполнения. Эти безопасные и изолированные среды предотвращают несанкционированный доступ или изменение используемых приложений и данных, повышая уровень безопасности для организаций, которые управляют конфиденциальными и регулируемыми данными. Чтобы включить графический процессор в доверенную среду выполнения и защитить конфиденциальность и целостность данных на графическом процессоре, NVIDIA впервые интегрировала возможности конфиденциальных вычислений в видеокарту H100.

2. Введение в конфиденциальные вычисления на графическом процессоре NVIDIA.

2.1

Конфиденциальная разработка графических процессоров

Чтобы защитить авторские права на видео и обеспечить безопасность видеоданных во время воспроизведения, NVIDIA применяет в видеокарте технологию VPR (VIDeo Protected Region), которая защищает область памяти графического процессора с помощью уникального аппаратного обеспечения и прошивки. Когда память графического процессора защищена с помощью VPR, существует только один безопасный механизм отображения, который может считывать данные из этой области и записывать в канал HDMI или DP. Любой другой механизм выдаст ошибку при попытке считывания данных.

Вдохновленная VPR, компания NVIDIA реализовала некоторые базовые возможности конфиденциальных вычислений в графических процессорах с архитектурой Ampere. Прошивка архитектуры Ampere позволяет создавать защищенный вычислительный анклав внутри памяти графического процессора, гарантируя, что только защищенные микроконтроллеры SEC2 смогут считывать данные из анклава и шифровать их перед записью на внешнее устройство. Эта способность называется APM (защищенная память).

Конфиденциальные вычисления требуют одновременной защиты конфиденциальности и целостности данных и кода. APM обеспечивает только конфиденциальность данных, но не может обеспечить конфиденциальность кода и не может защитить целостность данных и кода.

Наконец, на графическом процессоре H100 с архитектурой Hopper NVIDIA добилась полностью конфиденциальных вычислительных возможностей.

2.2

Архитектура конфиденциальных вычислений H100

Конфиденциальные вычисления, реализованные NVIDIA на H100, основаны на существующей среде доверенного выполнения конфиденциальной виртуальной машины (CVM TEE) на ЦП, такой как SEV-SNP ЦП AMD и TDX1.x ЦП Intel. На рис. 1 показана архитектура решения.

Рис. 1. Доверенная среда выполнения

Память графического процессора логически разделена на защищенные и незащищенные области. Незащищенная область не имеет ограничений доступа, а защищенная область вычислений графического процессора (CPR, защищенная область вычислений) имеет защиту доступа. Как показано на рисунке 1, когда графический процессор запускается в конфиденциальном режиме, ввод и вывод памяти CPR ограничен: межсетевой экран PCIe блокирует доступ процессора к большинству регистров и памяти CPR, а межсетевой экран NVLink блокирует доступ других графических процессоров к текущая память GPU CPR. Если не используется аппаратное шифрование, аппаратный механизм графического процессора не может записывать данные за пределы CPR. Механизм DMA — единственный механизм, доступный в пользовательском режиме, который может читать и записывать вне CPR. Аппаратное обеспечение DMA гарантирует, что данные сначала шифруются аппаратно, когда они записываются вне CPR. Эти меры гарантируют, что данные CPR не будут утечек.

Графические процессоры, загружаемые в режиме конфиденциальных вычислений, обеспечивают аппаратную защиту, обеспечивая конфиденциальность и целостность кода и данных:

1. Создайте цепочку доверия при запуске на основе безопасного запуска и показателей.

2. Обеспечьте безопасное соединение с драйвером в CPU TEE через сеанс SPDM (протокол безопасности и модель данных).

3. После подписания графический процессор сгенерирует контрольный отчет, в котором будут указаны значения измерений.

Пользователи в конфиденциальных вычислительных средах могут проверить отчет об аттестации и продолжать использовать графический процессор только в том случае, если отчет надежен и правилен.

Рис. 2. Режим конфиденциальных вычислений защищает графический процессор

На рисунке 2 показан процесс обмена данными между GPU и CPU на хосте при выключении и включении режима конфиденциальных вычислений. Когда режим конфиденциальных вычислений графического процессора выключен, драйвер NVIDIA и графический процессор обмениваются данными в виде обычного текста. Гипервизор имеет полный доступ к графическому процессору, а данные в графическом процессоре не имеют достаточной безопасности. Когда режим конфиденциальных вычислений включен. , драйвер NVIDIA в конфиденциальной виртуальной машине будет взаимодействовать с графическим процессором. TEE графического процессора устанавливает безопасный канал для обмена данными, а каждый компонент гостевого драйвера использует независимый ключ шифрования для обеспечения безопасности данных при обмене данными с графическим процессором. После включения режима конфиденциальных вычислений гипервизор не может получить доступ к памяти ЦП и памяти графического процессора конфиденциальной виртуальной машины.

NVIDIA также предприняла соответствующие меры защиты от атак по побочным каналам. В режиме конфиденциальных вычислений графического процессора аппаратное обеспечение обеспечивает отключение всех счетчиков производительности графического процессора, чтобы предотвратить возможную утечку данных.

2.3

Доказательство графического процессора

Для того, чтобы привести ГПУ в диапазон достоверности, необходимо дать Доказательство графического процессор, его легальность,и предоставить доказательства того, что в настоящее время он находится в хорошем известном состоянии. Доказательством здесь являются показатели графического процессора.,Отчет о проверке представляет собой измеренное значение, подписанное корнем доверия графического процессора. Подпись гарантирует, что значение метрики невозможно подделать.,Получите отчет об аттестации по установленному каналу Безопасности.,Атаки подмены устройства могут быть устранены.

После получения отчета CVM необходимо проверить подлинность отчета и оценить состояние графического процессора. Для оценки состояния требуется набор базовых значений, который называется RIM (Reference Integrity Manifest), официально создаваемый NVIDIA в автономном режиме и выпускаемый при каждом обновлении драйвера и версии VBIOS. Сравнивая показатели, предоставленные графическим процессором, с показателями RIM, предоставленными NVIDIA, CVM проверяет, является ли состояние графического процессора допустимым.

Рисунок 3 локальная проверка Доказательство графического процессора Отчет

Весь процесс показан на рисунке 3:

(1) CVM и GPU создают доверенный канал как основу для последующего обмена данными.

(2) CVM запрашивает у GPU предоставить подтверждающий отчет.

(3) Графический процессор получает значение метрики на основе текущего статуса, генерирует отчет о сертификации и использует корень доверия для подписи отчета.

(4) GPU отправляет подписанный отчет об аттестации в CVM.

(5) CVM проверяет отчет: проверяет достоверность подписи сертификата, извлекает стандартное значение метрики, сравнивает значение метрики и стандартное значение, указанное в отчете, и генерирует результат проверки.

РТР (Корневой of Trust for Report）、RTS（Root of Trust for Хранилище）иRTM（Root of Trust for измерения). RTS соответствует хранилище безопасности, которое используется для хранения значений измерений. РТМ на рисунке 3не показано в,Он отвечает за измерение выбранных состояний графического процессора.,И сохранять результаты измерений в RTS. RTR отвечает за получение измеренного значения.,Создать отчет об аттестации,И подпишите отчет ключом подтверждения.

Локальный валидатор в CVM используется для проверки отчетов, предоставляемых графическим процессором. Для процесса проверки требуются две удаленные службы, предоставляемые Nvidia: служба Nvidia OCSP и служба Nvidia RIM Provider.

Служба OSCP (протокол онлайн-статуса сертификатов) используется для проверки цепочки сертификатов. Локальный проверяющий может подтвердить статус сертификата на основе ответа службы OCSP: если возвращаемое значение «хорошее», то отчет графического процессора заслуживает доверия; если возвращаемое значение «отозвано», графический процессор не заслуживает доверия и можно отключить от текущего соединения с графическим процессором или принять другие меры безопасности.

RIM Provider Служба хранит файлы RIM, соответствующие всем драйверам видеокарт NVIDIA и выпускам VBIOS. Валидатор от Доказательства графического процессора Отчет Уникальный идентификатор, передаваемый,Запросите NVIDIA Служить, чтобы получить соответствующий файл RIM. после,Используйте этот файл, чтобы убедиться, что графическому процессору доверяют.

Локальные валидаторы помогают обеспечить простые и быстрые конфиденциальные вычисления на графическом процессоре. Однако официальные лица также отметили, что в настоящее время с этим решением существуют некоторые проблемы, например, CVM должен явно доверять локальному валидатору. Чтобы решить связанные с этим проблемы, NVIDIA предложила решение для удаленной проверки, которое заключается в размещении службы проверки на удаленном сервере. Деловая сторона сначала проверяет надежность службы, а затем использует службу проверки для проверки отчета после подтверждения. что услуга надежна. В настоящее время NVIDIA развернула аналогичную службу NRAS (Служба удаленной аттестации NVIDIA), которая в настоящее время поддерживает только проверку графического процессора и может быть расширена на другие продукты NVIDIA в будущем.

3. Резюме и перспективы

Конфиденциальные вычисления — это великая инновация в истории безопасности данных, которая постоянно развивается. NVIDIA распространяет конфиденциальные вычисления на графические процессоры, впервые предоставляя полные возможности конфиденциальных вычислений в бункерной архитектуре, расширяя область применения конфиденциальных вычислений. В марте 2024 года NVIDIA выпустила архитектуру Blackwell, которая еще больше усилила возможности конфиденциальных вычислений. Основная цель — обеспечить высокопроизводительную безопасность для больших языковых моделей. Я считаю, что в ближайшем будущем, благодаря технологическим инновациям в программном и аппаратном обеспечении, все вычисления могут стать конфиденциальными.

Ссылки

Dhanuskodi, Gobikrishna, et al. "Creating the First Confidential GPUs: The team at NVIDIA brings confidentiality and integrity to user code and data for accelerated computing." Queue 21.4 (2023): 68-93.

https://docs.attestation.nvidia.com/OCSP/ocsp_introduction.html

Редактор контента: Институт инновационных исследований Ян Боцзе Ответственный редактор: Чэнь Фочжун, Институт инновационных исследований

Исходная статья в этом общедоступном аккаунте отражает только точку зрения автора и не отражает позицию NSFOCUS Technology. Авторские права на весь оригинальный контент принадлежат NSFOCUS Technology Research Communications. Без разрешения любым СМИ или официальным аккаунтам WeChat строго запрещено копировать, перепечатывать, извлекать или иным образом использовать эту информацию. Перепечатки должны быть указаны как исходящие от NSFOCUS Technology Research Communications и включать ссылку на эту статью.