据知情人士透露,英伟达已经构建了一项位置验证技术,可用于指示其芯片所处的国家。这项举措有望帮助阻止其人工智能芯片被走私至出口受限的国家。
该功能在过去几个月中已进行私下展示,但尚未正式发布。知情人士表示,它将作为一项可由客户安装的软件选项,利用英伟达GPU的“机密计算”(confidential computing)能力来实现。
英伟达的一位负责人介绍,这款软件最初是为了让客户能够追踪芯片的整体计算性能——这是大型数据中心运营商在采购大批处理器时的常见需求——并将通过与英伟达服务器通信的时间延迟来推断芯片的大致位置,其精度大致与其他基于互联网的定位服务相当。
英伟达在一份声明中表示:“我们正在实施一项新的软件服务,使数据中心运营商能够监控其整个AI GPU集群的健康状态和库存情况。这款由客户自行安装的软件代理将利用GPU遥测数据来监测集群健康状况、完整性和库存信息。”
据这位英伟达负责人透露,该功能将首先在英伟达最新的“Blackwell”系列芯片上提供,因为它们在“证明”(attestation)流程方面具备比此前的Hopper和Ampere两代产品更强的安全功能,但英伟达也在研究让早期产品支持相关功能的可能性。
什么是机密计算?
据英伟达官方博客显示,机密计算是一种保护使用中数据(如内存中或运算过程中的数据)的技术,可防止任何人查看或篡改数据及运算过程。
它通过与处理器绑定的加密密钥,构建可信执行环境(也称安全飞地)。这个安全数字空间能生成经加密签名的“证明”(即远程证明),用以验证硬件和固件已正确配置,可防范数据与应用代码被窃取或篡改。
在安全领域的专业表述中,机密计算可保障数据与代码的隐私性及完整性。
长期以来,计算机会通过加密保护传输中(网络传输)和静态(存储于硬盘或非易失性存储芯片)的数据。但由于无法对加密数据直接运算,数据在处理器或主内存中处于使用状态时,存在被窥探、篡改或窃取的风险。
而机密计算补齐了数据生命周期防护的最后一块短板,实现数据全流程无明文暴露。
以往的安全防护多聚焦于用户自有设备(如企业服务器),这类场景下系统软件可正常访问用户数据与代码。但随着云与边缘计算普及,用户频繁在非自有设备上运行工作负载,机密计算因此将防护重心转向防范设备所有者获取用户数据。
在机密计算模式下,云端或边缘设备的操作系统、虚拟机监控器等软件仍负责内存分配等基础调度,但无法读取或修改用户程序的内存数据。
2015 年的一篇研究论文,首次借助 x86 处理器的全新安全防护扩展技术(Intel SGX)验证了相关技术可行性,其提出的方案名为“VC3”(即可验证机密云计算),这一名称的核心部分被沿用下来。
该论文第一作者费利克斯・舒斯特表示:“我们当时开始将其称为机密云计算”。四年后,他在德国波鸿联合创立了Edgeless Systems 公司,专为用户开发机密计算应用工具,助力提升数据防护能力。
在他看来,机密计算“就像为数据附上一份‘契约’,仅允许对其执行特定操作”。
机密计算的底层基础是可信根,其依托于每个处理器独有的安全密钥。
处理器会先通过“安全度量启动”机制校验固件合法性,生成基准数据以确认芯片处于安全初始状态;随后在系统中隔离出独立的安全飞地(可信执行环境),用户应用在此环境内运行。应用会将加密数据导入安全飞地、解密运算、再加密结果后输出,全程确保设备所有者无法接触用户的代码与数据。
此外,机密计算还能向用户证明数据与软件未被篡改,这一能力通过“远程证明”实现:它利用私钥生成安全证书并存入公共日志,用户可通过网络传输层安全协议(TLS)查验证书,确认机密防护体系是否完好、工作负载是否安全。
据了解,英伟达在2023年首次推出机密计算(Confidential Computing),其旨在保护数据与代码在使用中的安全,防止未授权访问与篡改。NVIDIA 与 CPU 厂商、云服务商及软件生态合作,使加速计算向机密环境迁移更加平滑。H100 是全球首款支持机密计算的 GPU,可在传统虚拟机或基于 Kata 的 Kubernetes 机密容器中运行。
依据机密计算联盟的定义,H100 在芯片上集成硬件 Root of Trust(RoT),并通过安全启动、SPDM 会话、以及加密签名的“证明(attestation)报告”构建可信执行环境(TEE)。用户可验证报告后再决定是否信任 GPU。自 Volta、Turing、Ampere 到 Hopper,NVIDIA 持续增强固件加密、回滚防护、故障注入防御以及测量/证明启动,实现从硬件、固件到驱动的一体化安全栈。
H100 的机密计算模式分为:CC-Off(正常模式)、CC-On(全面启用所有安全机制)和CC-DevTools(便于性能分析的开发模式)。启用 CC 模式后,CPU 与 GPU 之间的数据、指令、内核都将以加密形式传输,并通过“加密跳板缓冲区”完成与 GPU 内存的数据交互。CUDA 程序无需修改即可在 CC 模式下透明运行。
实现 GPU 机密计算需配合 CPU 厂商的 CVM 能力:AMD 依赖 SEV-SNP,Intel 依赖 TDX。通过设备证书、NVIDIA 远程证明服务(NRAS)等机制,CVM 可验证 GPU 身份、固件状态与安全配置,确保设备未被篡改或吊销。
在性能上,机密计算模式下 GPU 原生算力与 HBM 带宽不受影响;主要开销来自 CPU-GPU 加密传输与跳板缓冲区带来的延迟。当计算量远大于输入数据时,性能接近非机密模式。
原文: https://mp.weixin.qq.com/s/hw-yx1_g13B2OqwLNtCbSQ