Hlavní navigace

Unikátní procesory Power10 v IBM serverech. Ochrání nás unikátní šifrování Quantum safe?

 Autor: IBM Power
IBM uvedla svou novou řadu serverů IBM Power s procesorem Power 10 již v loňském roce. V posledních měsících IBM anoncuje další vylepšení této řady serverů. V čem jsou tedy tyto servery tak unikátní?
6. 6. 2023

Sdílet

Řadu unikátních vlastností měli IBM Power servery již od počátku. S procesory Power10 a novými verzemi operačních systémů, které lze na těchto serverech provozovat (AIX, IBM i, Linux, Red Hat) se objevili další pozoruhodné vlastnosti, které tyto servery staví na světovou špičku mezi servery.

Jako příklad mohu uvést některé z těchto velmi unikátních vlastností:

  • Virtualizace – bezkonkurenční využití zdrojů
  • Mobilita – možnost využití serverů 7 × 24 bez jakýchkoliv odstávek
  • Technologie a výkonnost procesoru – 7nm technologie, nová core architektura
  • Energetická účinnost – až trojnásobné navýšení oproti předchozím serverům Power9
  • Bezpečnost – hardwarové šifrování paměti bez snížení výkonnosti, plná integrace s HW

Pojďme se podívat především na bezpečnost – to je věc, která svět zajímá jako jedna s největším výzev a zároveň hrozeb i vzhledem k možnostem tzv. hybridních konfliktů

Procesory Power10 obsahují řadu bezpečnostních novinek:

Transparent Memory Encryption

je šifrování celé operační paměti a přináší ochranu dat běžnou na diskových úložištích a páskách i na RAM. Tato funkcionalita je součástí všech Power10 serverů, je navržena za účelem dosažení end-to-end security. Šifrování paměti je bez vlivu na výkon, je prováděno novými hardwarovými koprocesory.

Quantum-safe cryptography

je zcela nová oblast, která reaguje na dynamický rozvoj kvantových počítačů. Očekávaný vývoj kvantových počítačů může znamenat, že stávající šifrování nebude v několika málo letech odolné proti výpočetním schopnostem kvantových počítačů. Proto probíhá identifikace nových šifrovacích algoritmů (např. aktivity NIST), které v budoucnu budou odolné jak proti klasickým, tak kvantovým počítačům.  Nově navržené šifrovací koprocesory v Power10 jsou připraveny jak na klasické, tak quantum-safe algoritmy.

Fully Hormomorphic Encryption

je postup, jak zpracovávat zašifrovaná data bez potřeby je nejdříve dešifrovat. Softwarové knihovny pro toto řešení jsou již optimalizované pro Power10 Instrukční sadu nebo budou v blízké budoucnosti.

Můžete více popsat, co quantum safe znamená v praxi a co vše zákazníkovi řeší? 

Na začátek je dobré si připomenout něco málo k šifrování. Symetrické šifrování je hojně využíváno asi od 70 let minulého století. Do 90. let se často využíval algoritmus DES s 56-bitovou délkou klíče. Tento algoritmus byl v 70 a 80 letech považován za bezpečný, ale délka klíče na sklonku 80 let už nebyla dostatečná, proto přišlo prodloužení klíče (3DES).  Na DES navázaly po roce 200 šifry AES. Pro zajímavost čas nutný na prolomení dnes asi nejrobustnějšího algoritmu AES s 256bitovým klíčem hrubou silou je odhadován na delší čas, než je aktuální stáří vesmíru. Podstatné je, že šifrování AES-256 (a také případně Hash based algoritmy jako jsou SHA 512) jsou i dnes považovány za Quantum safe. Obecně se uvažuje u symetrického šifrování a u hash based algoritmů za bezpečné použití dvojnásobné délky klíče (např. nahradit AES 128 bezpečnějším AES 256) i pro nastupující dobu s kvantovými počítači. Ale pozor, prodloužení klíče nemusí být řešení pro jiné algoritmy.

(Poznámka: za Quantum safe považujeme takové postupy a technologie, které posuzujeme aktuálními znalostmi o očekávaných budoucích schopnostech kvantových počítačích).

Když hovoříme o šifrování, nesmíme opominout asymetrické šifrování. Před více než čtvrt stoletím Peter Shor vytvořil algoritmus pro faktorizaci velkých čísel na prvočísla. Tento algoritmus dokáže úlohy faktorizace dramaticky zrychlit na dostatečně výkonných kvantových počítačích. Vzhledem k tomu, že většina asymetrických šifer (například RSA) je založena právě na faktorizaci prvočísel, se toto téma stává více a více diskutováno. Pro představu, aktuálně je odhadována časová náročnost na prolomení RSA 2048 bit na klasickém počítači astronomických 3 × 1015 let. 

K prolomení téhož na dostatečně výkonném kvantovém stroji (s cca 4 099 plně funkčními logickými qbity) by mělo stačit několik sekund. Ano, takovýto kvantový stroj dnes ještě neexistuje a nějakou dobu existovat nebude. Ale v každém případě se již od roku 2016 pracuje na nových algoritmech (Crystals-Dilithium, Falcon, Sphincs+, Crystals-Kyber), které by do budoucna nahradily RSA pro potřeby digitálních podpisů apod. Finální výběr těchto Public-key Quantum Safe algoritmů je očekáváno v příštím roce (více o aktuálním stavu s Post Quantum Cryptography a uvažovanými algoritmy je možné se dočíst na stránkách NIST: https://csrc.nist.gov/projects/post-quantum-cryptography/selected-algorithms-2022).

Konečně se vracím k Power10 a jeho Quantum safe připravenosti. Power10 je již dnes vybaveno hw akcelerátory pro podporu šifrování tak, aby dokázalo akcelerovat výpočty uvažovaných budoucích quantum safe algoritmů vedle dnes akcelerovaných algoritmů, což jsou především AES a SHA.

Je v současné době investice do technologie tohoto typu ještě na místě? Narážíme na náklady a trend cloudových řešení. 

Cloudová řešení (IBM nabízí také svůj cloud na Power serverech) jsou velmi oblíbená, ale nejsou pro každého a pro každou situaci. Řada významných zákazníků zde v České republice investovala nebo plánuje investovat nemalé částky o modernizaci svých datových středisek a my jsme rádi, že díky IBM technologiím máme co nabídnout.

Jaké jsou dodací lhůty pro tyto produkty, ovlivňuje jejich dodávky například geopolitická situace? 

IBM jako jeden z mála světových výrobců zvládl nedávnou krizi dodavatelských řetězců, kdy řada jejich konkurentů nebyla schopna dodávat zákazníkům svůj HW ve standardních dodacích lhůtách. IBM byla na takové situace připravena a řada zákazníků byla mile překvapena, že i za takové situace, znásobené omezením díky COVID-19 či válkou na Ukrajině, dokázala IBM dostát všem svým závazkům.

Blížíme se k závěru našeho povídání. Dokázal byste popsat, jaký je hlavní benefit serverů IBM Power proti Intelu? 

Kromě výkonnosti procesorů se zase musíme vrátit k otázce bezpečnosti. Jasně je to vidět na následujícím porovnání evidovaných zranitelností operačních systémů a virtualizací

Následující grafy uvádí množství identifikovaných zranitelnosti ve virtualizačních platformách a operačních systémech dle cve.mitre.org. Počet zranitelností je uveden za období 2015–2022 (červen).

Autor: ITS
Autor: ITS

Je zjevné, že prostředí jako je PowerVM, AIX, IBM i vyžadují mnohem méně bezpečnostních aktualizací a s tím spojených zásahů do systému a odstávek. Power Systémy se vedle mainframových řešení řadí mezi nejbezpečnější platformy dostupné na současném trhu.

A ještě poslední otázka. Jako technologický partner pomáháte společnosti IBM s uvedením produktů na trh a dostat je ke koncovým zákazníkům. V čem jsou z vašeho pohledu technologie IBM tak výjimečné? 

O řadě specifických IBM technologií v serverech Power10 jsme již hovořili na začátku. Já bych ale na tomto místě chtěl předestřít, že bez kvalitního týmu odborníků na straně IBM i jejich distributorů můžete mít sice prvotřídní výrobek, ale pokud jej nedokážete úspěšně nainstalovat, naimplementovat, podporovat, tak vyjde vše vniveč.V České republice naštěstí máme dost kvalitních odborníků a myslím, že naši zákazníci to velmi oceňují. Pokud byste potřebovali více informací, s čím vším dokážeme pomoci konkrétně my v ITS, určitě se na nás neváhejte obrátit. https://www.its.cz/kontakty

Odpovídal Miloš Růžička, obchodně-technický specialista ITS akciová společnost

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).