Fundació Linux sobre la creació d'un consorci , destinada a desenvolupar tecnologies obertes i estàndards relacionats amb el processament segur en memòria i la informàtica confidencial. Al projecte conjunt ja s'han sumat empreses com Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent i Microsoft, que pretenen treballar conjuntament en una plataforma neutral per desenvolupar tecnologies per aïllar dades a la memòria durant el procés informàtic.
L'objectiu final és proporcionar els mitjans per donar suport al cicle complet de processament de dades en forma xifrada, sense trobar informació en forma oberta en etapes individuals. L'àrea d'interès del consorci inclou principalment tecnologies relacionades amb l'ús de dades xifrades en el procés informàtic, és a dir, l'ús d'enclavaments aïllats, protocols de , manipulació de dades xifrades a la memòria i aïllament complet de les dades a la memòria (per exemple, per evitar que l'administrador del sistema host accedeixi a les dades de la memòria dels sistemes convidats).
Els projectes següents s'han transferit per al desenvolupament independent com a part del Consorci d'Informàtica Confidencial:
- Intel es va lliurar per al desenvolupament conjunt continuat
components per utilitzar la tecnologia (Software Guard Extensions) a Linux, inclòs un SDK amb un conjunt d'eines i biblioteques. SGX proposa utilitzar un conjunt d'instruccions especials de processador per assignar àrees de memòria privada a aplicacions a nivell d'usuari, el contingut de les quals està xifrat i no pot ser llegit ni modificat ni tan sols pel nucli i el codi que s'executa en els modes ring0, SMM i VMM; - Microsoft va lliurar el marc , que us permet crear aplicacions per a diverses arquitectures TEE (Trusted Execution Environment) mitjançant una única API i una representació abstracta d'enclavament. Una aplicació preparada amb Open Enclav es pot executar en sistemes amb diferents implementacions d'enclavament. Dels TEE, actualment només s'admet Intel SGX. El codi per donar suport a ARM TrustZone està en desenvolupament. Sobre el suport , AMD PSP (Platform Security Processor) i AMD SEV (Secure Encryption Virtualization) no s'informa.
- Red Hat va lliurar el projecte , que proporciona una capa d'abstracció per crear aplicacions universals per executar-se en enclavaments que suporten diversos entorns TEE, independents de les arquitectures de maquinari i que permeten l'ús de diversos llenguatges de programació (s'utilitza el temps d'execució basat en WebAssembly). Actualment, el projecte admet les tecnologies AMD SEV i Intel SGX.
Entre els projectes similars passats per alt, podem destacar el marc , que està desenvolupat principalment per enginyers de Google, però un producte de Google amb suport oficial. El marc us permet adaptar fàcilment les aplicacions per traslladar algunes de les funcionalitats que requereixen una major protecció al costat d'un enclavament protegit. Dels mecanismes d'aïllament de maquinari d'Asylo, només s'admet Intel SGX, però també hi ha disponible un mecanisme de programari per formar enclavaments basats en l'ús de la virtualització.
Recordem que l'enclavament (, Trusted Execution Environment) implica el subministrament per part del processador d'una àrea especial aïllada, que permet moure part de la funcionalitat de les aplicacions i del sistema operatiu a un entorn separat, el contingut de la memòria i el codi executable en el qual són inaccessibles des de la sistema, independentment del nivell de privilegis disponibles. Per a la seva execució, es poden traslladar a l'enclavament implementacions de diversos algorismes de xifratge, funcions per processar claus i contrasenyes privades, procediments d'autenticació i codi per treballar amb dades confidencials.
Si el sistema principal està compromès, l'atacant no podrà determinar la informació emmagatzemada a l'enclavament i es limitarà només a la interfície de programari externa. L'ús d'enclavaments de maquinari es pot considerar com una alternativa a l'ús de mètodes basats en xifrat o , però a diferència d'aquestes tecnologies, l'enclavament pràcticament no té cap efecte en el rendiment dels càlculs amb dades confidencials i simplifica significativament el desenvolupament.
Font: opennet.ru