Linux Foundation o osnivanju konzorcijuma , čiji je cilj razvoj otvorenih tehnologija i standarda koji se odnose na sigurnu obradu u memoriji i povjerljivo računanje. Zajedničkom projektu već su se pridružile kompanije kao što su Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent i Microsoft, koje namjeravaju zajedno raditi na neutralnoj platformi za razvoj tehnologija za izolaciju podataka u memoriji tokom procesa računarstva.
Krajnji cilj je osigurati sredstva za podršku punom ciklusu obrade podataka u šifriranom obliku, bez pronalaženja informacija u otvorenom obliku u pojedinačnim fazama. Područje interesovanja konzorcija prvenstveno uključuje tehnologije koje se odnose na korištenje šifriranih podataka u računarskom procesu, odnosno korištenje izolovanih enklava, protokola za , manipulacija šifriranim podacima u memoriji i potpuna izolacija podataka u memoriji (na primjer, da bi se spriječio administrator host sistema da pristupi podacima u memoriji gostujućih sistema).
Sljedeći projekti prebačeni su na samostalan razvoj u sklopu Konzorcijuma za povjerljivo računarstvo:
- Intel predat na nastavak zajedničkog razvoja
komponente za korišćenje tehnologije (Software Guard Extensions) na Linuxu, uključujući SDK sa skupom alata i biblioteka. SGX predlaže korištenje skupa specijalnih procesorskih instrukcija za dodjelu privatnih memorijskih područja aplikacijama na nivou korisnika, čiji je sadržaj šifriran i ne može se čitati ili mijenjati čak ni kernelom i kodom koji se izvodi u ring0, SMM i VMM načinima; - Microsoft je predao okvir , što vam omogućava da kreirate aplikacije za različite TEE (Trusted Execution Environment) arhitekture koristeći jedan API i apstraktnu reprezentaciju enklave. Aplikacija pripremljena korištenjem Open Enclav može raditi na sistemima s različitim implementacijama enklave. Od TEE-ova, trenutno je podržan samo Intel SGX. Kod za podršku ARM TrustZone je u razvoju. O podršci , AMD PSP (Platform Security Processor) i AMD SEV (Secure Encryption Virtualization) nisu prijavljeni.
- Red Hat je predao projekat , koji pruža sloj apstrakcije za kreiranje univerzalnih aplikacija za pokretanje u enklavama koje podržavaju različita TEE okruženja, neovisno o hardverskim arhitekturama i omogućavajući korištenje različitih programskih jezika (koristi se vrijeme izvođenja zasnovano na WebAssembly-u). Projekat trenutno podržava AMD SEV i Intel SGX tehnologije.
Među zanemarenim sličnim projektima možemo izdvojiti okvir , koji su uglavnom razvili Google inženjeri, ali službeno podržani Googleov proizvod. Okvir vam omogućava da lako prilagodite aplikacije da premjestite neke od funkcionalnosti koje zahtijevaju povećanu zaštitu na stranu zaštićene enklave. Od mehanizama hardverske izolacije u Asylu podržan je samo Intel SGX, ali je takođe dostupan softverski mehanizam za formiranje enklava zasnovan na korišćenju virtuelizacije.
Podsjetimo da je enklava (, Trusted Execution Environment) uključuje davanje procesora posebne izolovane oblasti, koja vam omogućava da premestite deo funkcionalnosti aplikacija i operativnog sistema u zasebno okruženje, sadržaj memorije i izvršni kod u kojem su nedostupni iz glavnog sistem, bez obzira na nivo dostupnih privilegija. Za njihovo izvršenje, implementacije različitih algoritama šifriranja, funkcije za obradu privatnih ključeva i lozinki, procedure autentikacije i kod za rad s povjerljivim podacima mogu se premjestiti u enklavu.
Ako je glavni sistem kompromitovan, napadač neće moći da odredi informacije pohranjene u enklavi i biće ograničen samo na spoljni softverski interfejs. Upotreba hardverskih enklava može se smatrati alternativom korištenju metoda zasnovanih na enkripcija ili , ali za razliku od ovih tehnologija, enklava praktično nema utjecaja na performanse proračuna s povjerljivim podacima i značajno pojednostavljuje razvoj.
izvor: opennet.ru