Linux 7.2 prepara soporte para Intel Key Protection Technology en la nueva generación de QuickAssist

El kernel sigue evolucionando. Hace poco te hablábamos de las novedades de la versión 7.0. Ahora, toca centrarse en Linux 7.2 porque, según hemos podido conocer, se encamina a incorporar soporte para Intel Key Protection Technology (KPT) dentro del controlador principal de QuickAssist Technology (QAT), un movimiento relevante porque acerca al código abierto una función que Intel llevaba años mencionando en documentación y presentaciones, pero que hasta ahora no estaba realmente reflejada en el driver upstream de Linux.

Tal y como recuerdan en Phoronix, Intel promociona KPT desde la época de los primeros Xeon Scalable de 2017. Incluso existen referencias anteriores en la documentación de QAT desde 2016. Esta tecnología está orientada a proteger claves criptográficas mediante cifrado por hardware mientras están en uso, en tránsito o almacenadas, evitando que queden expuestas en texto plano dentro de la memoria del host. En otras palabras, su objetivo es reforzar la seguridad de los procesos de offload criptográfico que dependen de QuickAssist.

La novedad ahora es que una serie de cambios ya ha entrado en la rama de desarrollo cryptodev del subsistema crypto, en cola para Linux 7.2. El parche introduce la infraestructura necesaria para habilitar KPT en dispositivos QAT de sexta generación, conocidos como Gen6. Entre otras cosas, añade nuevas interfaces sysfs para interactuar con esta capacidad y adapta el controlador acelerador criptográfico de QAT para manejar esa funcionalidad.

QAT Gen6 será el punto de partida del soporte upstream

Según la información disponible, el soporte inicial de Key Protection Technology queda ligado a QAT Gen6. Aunque en un primer momento podría parecer una simple ampliación orientada a nuevo hardware, la situación actual del árbol de código de Linux deja ver que no había rastros previos relevantes de KPT en el driver principal. También la librería de código abierto QATlib señalaba hasta ahora entre sus limitaciones precisamente la falta de soporte para esta tecnología.

Eso sugiere que el ecosistema abierto de QuickAssist está empezando a ponerse al día con una función que Intel llevaba tiempo asociando a su plataforma. No se ha detallado si QAT Gen6 introduce cambios de base que faciliten especialmente esta implementación, pero sí parece claro que la sexta generación será la primera en recibir este soporte de forma integrada en el kernel principal.

Intel comenzó el año pasado a añadir soporte para QAT Gen6 en Linux, y desde entonces han ido apareciendo mejoras relacionadas con nuevas funciones de telemetría y con un mejor soporte para Zstd dentro de QAT. La llegada de KPT encaja dentro de esa misma línea de ampliación progresiva de capacidades.

Con este cambio, Linux 7.2 perfila una mejora importante para los entornos que dependen de aceleración criptográfica por hardware con Intel QuickAssist. La protección de claves por hardware pasa así a formar parte del camino principal del kernel para la nueva generación de QAT, algo especialmente relevante en despliegues donde la seguridad del manejo de claves tiene un peso crítico.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!