O tráfego PCIe sempre foi considerado seguro, já que os dados eram transmitidos sem criptografia, assumindo que tudo dentro do computador estava protegido. Esse modelo não se aplica mais a sistemas modernos, como servidores e ambientes na nuvem, onde este tráfego se assemelha a uma rede que exige maior proteção.
O PCIe IDE funciona no nível da comunicação entre os componentes de hardware, abaixo do sistema operacional e dos drivers. O tráfego é criptografado antes de ser enviado pelo barramento PCIe, e apenas o dispositivo de destino pode descriptografá-lo. A integridade dos dados também é verificada, detectando tentativas de alteração.
A autenticação dos dispositivos também ocorre antes da comunicação, impedindo que dispositivos falsificados participem da troca de dados. Para os drivers, não há mudanças visíveis, e as operações no barramento PCIe continuam normalmente.
O lançamento do Linux 6.19 trouxe suporte à criptografia PCIe Link (PCIe IDE - Integrity and Data Encryption), que trata o barramento PCIe como uma área vulnerável a ataques, garantindo a proteção dos dados em trânsito contra espionagem, adulteração e dispositivos maliciosos. Isso amplia a proteção para além da memória e do armazenamento, até as conexões de hardware.
O suporte do Linux 6.19 ao PCIe IDE ativa e gerencia essa criptografia, tornando o PCIe uma parte protegida da infraestrutura, especialmente útil em sistemas com máquinas virtuais ou ambientes de múltiplos usuários, como na nuvem.
A criptografia impede que dispositivos maliciosos observem ou alterem dados entre componentes confiáveis, o que é crucial para sistemas de computação confidencial, como o SEV (Secure Encrypted Virtualization).
Em ambientes de nuvem, onde várias máquinas virtuais compartilham o mesmo barramento PCIe, a criptografia PCIe IDE protege os dados contra observação ou manipulação por dispositivos comprometidos. Isso também melhora a segurança, limitando riscos de ataques que poderiam passar despercebidos por firewalls ou políticas de segurança.
Embora o PCIe IDE não elimine completamente os riscos, ele dificulta a espionagem passiva e torna a manipulação ativa mais detectável. Dispositivos que não participam da troca de chaves de criptografia não podem se infiltrar no tráfego protegido.
A tecnologia reforça a segurança no Linux, funcionando junto com outras ferramentas, como o IOMMU e o Secure Boot, para restringir ainda mais o acesso ao hardware e melhorar a observação do tráfego.
A criptografia PCIe IDE é particularmente relevante em sistemas de virtualização, onde a comunicação entre o processador e os dispositivos precisa ser protegida para garantir a privacidade e a segurança dos dados. Também é importante em servidores e sistemas edge, onde a exposição de dados no barramento PCIe pode representar uma vulnerabilidade significativa.
A proteção dos dados em trânsito com a criptografia PCIe IDE fortalece a segurança em ambientes modernos de computação, principalmente nos que envolvem virtualização e compartilhamento de recursos.
A adoção dessa tecnologia será gradual, pois depende da compatibilidade do hardware, firmware e do kernel, e os administradores devem garantir que as configurações necessárias estejam corretas para ativar a criptografia.