Processeurs et unités de stockage flash prennent dorénavant en charge les opérations de chiffrement. L’objectif est ici de mieux protéger les données, avec un minimum d’impact sur les performances du système.
De nombreuses technologies permettent aujourd’hui de chiffrer les informations sur les serveurs. L’AES (Advanced Encryption Standard) s’est généralisé sur ce type de machines, permettant ainsi de mieux les sécuriser.
Afin d’accélérer ces opérations, les processeurs sont maintenant en mesure de les prendre en charge directement. « Intel met à disposition au sein de ses processeurs plusieurs technologies offrant un chiffrement hardware des données », nous confirme Julien Laval, Responsable marketing solutions Datacenter et IOT pour la France.
« La plus connue est sans doute le jeu d’instructions AES NI, qui accélère le chiffrement des données. Il peut être combiné avec le générateur de nombres aléatoires Secure Key, lui-même sur base hardware. Les nombres sont générés ici – pour simplifier – grâce aux variations de la chaleur émise par le processeur. Ce désordre constant et naturel (entropie) rend les chiffres ainsi élaborés difficiles à deviner. »
Ces technologies sont dorénavant largement répandues au sein des processeurs Intel, et donc présentes en standard dans la plupart des serveurs, dont ceux de HPE. Mais quel impact leur utilisation a-t-elle sur la vitesse de fonctionnement de la machine ? « Ces technologies de chiffrement hardware minimisent grandement l’impact sur les performances par rapport à une solution purement logicielle, explique notre interlocuteur. Le logiciel y faisant appel délègue le calcul de chiffrement à cette unité spécifique du processeur, laissant ainsi sa puissance disponible pour d’autres tâches. »
Le stockage flash, lui aussi chiffré
Les unités de stockage flash, les fameux SSD (pour solid-state drive) proposent eux aussi des procédés de chiffrement matériel des données. Lesquels sont souvent sans aucune incidence sur leur vitesse de fonctionnement.
« De la même manière que le processeur dispose d’un chiffrement matériel, les SSD sont aujourd’hui dotés de microcontrôleurs proposant du cryptage hardware, le plus souvent en utilisant l’AES en 128 bits ou 256 bits, détaille Julien Laval. Il faut activer le chiffrement dans l’outil de configuration du SSD, ou avec un logiciel de cryptage, en associant une clé de sécurité au disque. »
Les disques FDE (full disk encryption) / SED (self-encrypting drive) sont de plus en plus communs. « Ils utilisent tous OPAL, un jeu de spécifications de sécurité des systèmes de stockage, qui emploie l’AES pour générer des clés de chiffrement. »
Avantage, ce chiffrement des données est systématique et permanent. Si l’utilisateur fixe un mot de passe d’accès au disque, il sera impossible pour un tiers d’en décrypter les données. Si aucun mot de passe n’est utilisé, l’accès aux données est libre, mais un simple changement de la clé interne permettra de rendre les anciennes informations inutilisables. Une technique qui permet de réinitialiser un SSD de façon rapide et fiable.
Réseau et mémoire
Il est maintenant possible de mettre en place des infrastructures serveur 100 % chiffrées, assure Julien Laval. Le chiffrement s’invite en effet jusque dans le réseau et la mémoire centrale du serveur. Dans ce dernier cas, il faut toutefois passer par des méthodes logicielles. En attendant l’arrivée des solutions Intel Optane, qui permettront à la mémoire 3D XPoint – au chiffrement assuré de façon matérielle – d’entrer au cœur de la mémoire de travail des serveurs.
