Intel explica su «Partner Security Engine» en los Core Ultra 200: compatible con Microsoft Pluton, SRAM dedicada y dentro del SOC Tile
Con los nuevos procesadores Core Ultra 200 para PC y portátiles Intel introdujo mejoras significativas en la seguridad del hardware con la incorporación de Intel Partner Security Engine (PSE), el cual no explicó en profundidad hasta hoy. Esta tecnología proporciona un entorno aislado dentro del SoC Tile para ejecutar soluciones de seguridad de terceros de La entrada Intel explica su «Partner Security Engine» en los Core Ultra 200: compatible con Microsoft Pluton, SRAM dedicada y dentro del SOC Tile aparece primero en El Chapuzas Informático.
Con los nuevos procesadores Core Ultra 200 para PC y portátiles Intel introdujo mejoras significativas en la seguridad del hardware con la incorporación de Intel Partner Security Engine (PSE), el cual no explicó en profundidad hasta hoy. Esta tecnología proporciona un entorno aislado dentro del SoC Tile para ejecutar soluciones de seguridad de terceros de forma segura. Lo interesante aquí, aparte de que protege a las CPU contra los ataques de tipo “Side Channel”, es entender cómo lo hace y cómo se compagina con sistemas como TPM.
Una de las cosas más interesantes de este nuevo sistema de seguridad es que, aunque está incluido en Intel Silicon Security Engine, este motor es independiente del procesador principal y permite ejecutar firmware y software especializado, como Microsoft Pluton. Su diseño prioriza el aislamiento, la protección de datos y la capacidad de integrarse con diferentes necesidades de seguridad, asegurando un ecosistema más confiable y robusto.
Intel Partner Security Engine, un nuevo estándar de los azules para mejorar la seguridad en el hardware
En un documento oficial dentro del blog de Intel, la compañía ha mostrado y explicado brevemente cómo funciona este Partner Security Engine para trabajar conjuntamente con Microsoft Pluton. Aunque Intel Silicon Security Engine debutó como motor general de seguridad en los Core Ultra de la serie 1, los azules solo han incluido este Partner Security Engine en los Core Ultra 200 en exclusiva y de cara a las siguientes generaciones.
Por ello, Intel ha evolucionado su enfoque en la protección del sistema con una arquitectura más flexible y adaptable. Con la introducción de Intel Partner Security Engine, la seguridad basada en hardware alcanza un nuevo nivel, ya que permite a los fabricantes y socios aprovechar una infraestructura de confianza reforzada en cada dispositivo al ofrecer más protección ante ataques de diversos tipos.
Lo principal que hay que entender es que hablamos de una pieza de hardware, en silicio, dentro del SOC Tile, independiente del CPU Tile y de cómo gestione dicho Tile la información. El motivo de esto es evitar los ataques de tipo Side Channel que tantos quebraderos de cabeza les ha dado a Intel y AMD, protegiendo la caché y la DRAM. Para ello, Partner Security Engine tiene sus propios recursos y hardware, de manera que no necesita los de la CPU, no consume recursos en los procesos tradicionales.
Tanto es así, que no depende de la criptografía de Intel Silicon Security Engine, así que volvemos a insistir cuando decimos que es una parte del hardware totalmente independiente. Y es que tiene SRAM dedicada y aislada, donde según la propia Intel, Partner Security Engine ejecuta el firmware de forma segura para la IP en ella, pero es que también tiene memoria no volátil dedicada para datos críticos, como en los reinicios del sistema.
Accesos y características generales
Lógicamente, tiene que compartir acceso con algunas partes dentro del procesador para sus tareas. Esto lo hace con el SOC, no con el CPU Tile, por lo que accede a la memoria del sistema y las E/S, así que el propio SOC Tile hace de barrera de protección, ya que Partner Security Engine tiene una región para él en exclusiva dentro de la FLASH y DRAM, donde nadie más tiene acceso. Sé que suena repetitivo, pero insisto, el acceso es exclusivo para PSE, y para nadie más, lo cual lo hace extremadamente seguro a nivel de hardware y software.
Por ello, tanto en el arranque del PC o portátil, como en las actualizaciones o recuperaciones del SO, Partner Security Engine no depende del concepto de Silicon Security Engine, ya que tiene su propia ROM de arranque que se extiende a través del firmware. Para entender el concepto general, es como tener una pequeña CPU de silicio dentro del SOC Tile que ejecuta su propia ROM y firmware con acceso a la Flash y RAM del sistema, una CPU dentro del procesador en un Tile.
Entendido esto, Intel nos da las 5 claves sobre las capacidades de Partner Security Engine de cara a soportar los requisitos de Microsoft Pluton:
- Key Split: la arquitectura Intel Partner Security Engine permite "secretos" de dispositivos seguros y únicos generados fuera de las instalaciones de fabricación de Intel.
- SoftROM: Arquitectura ROM inmutable habilitada con enlace tardío en la fabricación OEM para maximizar la calidad y la solidez en asociación con OEM y socios.
- Identificación de enlace: Intel Partner Security Engine está diseñado con la flexibilidad de ejecutar múltiples firmwares asociados, pero vinculándolos de forma segura al sistema a través de mecanismos de hardware únicos. Una vez que el dispositivo se fabrica para ejecutar un firmware asociado de Intel Partner Security Engine en particular, no se puede modificar para ejecutar ningún otro firmware en el campo
- Protección de repetición: Intel Partner Security Engine está habilitado con servicios de contador monótonos dedicados que permiten la capacidad de protección de repetición.
- Intel ha habilitado controles OEM para la aceptación de IP, creación, fabricación y aprovisionamiento de imágenes, así como actualizaciones para configurar las capacidades de Intel Partner Security Engine, lo que permite a los OEM definir qué y cómo se ejecuta Intel Partner Security Engine en sus dispositivos.
Intel quiere garantizar la seguridad para sus procesadores y los productos de sus socios
Es el objetivo, proteger todo el hardware desde el procesador, incluso en entornos previos y posteriores al arranque del sistema. Si como dicen los azules, Partner Security Engine se vincula tras la fabricación y ejecución del firmware asociado y no se puede modificar, tampoco se va a permitir que otro se ejecute, es único e indivisible.
Es seguridad en hardware que se respalda con un software propio e indivisible y que se gestiona con Microsoft Pluton, parte del compromiso de los de Redmond por la seguridad que les estaba pidiendo el gobierno de los EE.UU. Por último, solo incidir en el hecho de que Intel integró Partner Security Engine por primera vez en Lunar Lake (Core Ultra 200V), y que todos sus procesadores a partir de dicha arquitectura lo incluirán, mejorándolo en posteriores entregas.
De hecho, aunque AMD tiene su propio sistema para Pluton, ahora mismo en PC solo se ejecuta en placas GIGABYTE, donde desde la BIOS hay que seleccionarlo dentro de las opciones de TPM, donde se puede dejar en AUTO, elegir dTPM, ASP fTPM o Pluton fTPM. Por tanto, Pluton es algo que ha llegado para quedarse y ser el siguiente paso unificador para todos.
Intel Partner Security Engine es el movimiento de Intel no solo para darle soporte por hardware, sino para ir un paso más allá en la seguridad de nuestro PC o portátil de cara al futuro.
La entrada Intel explica su «Partner Security Engine» en los Core Ultra 200: compatible con Microsoft Pluton, SRAM dedicada y dentro del SOC Tile aparece primero en El Chapuzas Informático.
