Linux Foundation sa pagtukod sa usa ka consortium , nga gitumong sa pagpalambo sa bukas nga mga teknolohiya ug mga sumbanan nga may kalabutan sa pagsiguro sa in-memory nga pagproseso ug confidential computing. Ang hiniusang proyekto giubanan na sa mga kompanya sama sa Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent ug Microsoft, nga nagtinguha nga magtinabangay sa usa ka neyutral nga plataporma aron mapalambo ang mga teknolohiya alang sa pagbulag sa datos sa memorya sa panahon sa proseso sa pag-compute.
Ang katapusang tumong mao ang paghatag og mga paagi sa pagsuporta sa tibuok nga siklo sa pagproseso sa datos sa encrypted nga porma, nga walay pagpangita og impormasyon sa bukas nga porma sa tagsa-tagsa nga mga yugto. Ang lugar sa interes sa consortium nag-una naglakip sa mga teknolohiya nga may kalabutan sa paggamit sa naka-encrypt nga datos sa proseso sa pag-compute, nga mao, ang paggamit sa mga nahilit nga enclaves, mga protocol alang sa , pagmaniobra sa naka-encrypt nga datos sa memorya ug kompleto nga pag-inusara sa datos sa memorya (pananglitan, aron mapugngan ang tagdumala sa host system sa pag-access sa datos sa memorya sa mga guest system).
Ang mosunod nga mga proyekto gibalhin alang sa independenteng kalamboan isip kabahin sa Confidential Computing Consortium:
- Gitugyan sa Intel alang sa padayon nga hiniusang kalamboan
mga sangkap alang sa paggamit sa teknolohiya (Software Guard Extensions) sa Linux, lakip ang SDK nga adunay set sa mga himan ug librarya. Gisugyot sa SGX ang paggamit sa usa ka hugpong sa mga espesyal nga instruksyon sa processor aron igahin ang mga pribado nga lugar sa panumduman sa mga aplikasyon sa lebel sa gumagamit, ang mga sulud niini gi-encrypt ug dili mabasa o mabag-o bisan sa kernel ug code nga nagdagan sa ring0, SMM ug VMM mode; - Gitugyan sa Microsoft ang balangkas , nagtugot kanimo sa paghimo og mga aplikasyon alang sa lain-laing TEE (Trusted Execution Environment) nga mga arkitektura gamit ang usa ka API ug abstract nga representasyon sa enclave. Ang usa ka aplikasyon nga giandam gamit ang Open Enclav mahimong modagan sa mga sistema nga adunay lainlaing mga pagpatuman sa enclave. Sa mga TEE, ang Intel SGX ra ang gisuportahan karon. Ang code aron suportahan ang ARM TrustZone anaa sa pag-uswag. Mahitungod sa suporta , AMD PSP (Platform Security Processor) ug AMD SEV (Secure Encryption Virtualization) wala gitaho.
- Gitugyan sa Red Hat ang proyekto , nga naghatag ug abstraction layer para sa paghimo ug unibersal nga mga aplikasyon nga modagan sa mga enclave nga nagsuporta sa lain-laing TEE environment, independente sa hardware architectures ug nagtugot sa paggamit sa lain-laing programming language (WebAssembly-based runtime ang gigamit). Ang proyekto karon nagsuporta sa AMD SEV ug Intel SGX nga mga teknolohiya.
Taliwala sa nataligam-an nga susamang mga proyekto, atong mamatikdan ang balangkas , nga gipalambo sa kadaghanan sa mga inhenyero sa Google, apan usa ka opisyal nga gisuportahan nga produkto sa Google. Gitugotan ka sa balangkas nga dali nga ipahiangay ang mga aplikasyon aron mapalihok ang pipila nga mga gamit nga nanginahanglan dugang nga proteksyon sa kilid sa usa ka gipanalipdan nga enclave. Sa mga mekanismo sa pag-inusara sa hardware sa Asylo, ang Intel SGX lamang ang gisuportahan, apan ang usa ka mekanismo sa software alang sa pagporma sa mga enclave base sa paggamit sa virtualization anaa usab.
Hinumdomi nga ang enclave (, Trusted Execution Environment) naglakip sa probisyon sa processor sa usa ka espesyal nga nahilit nga lugar, nga nagtugot kanimo sa pagbalhin sa bahin sa pag-andar sa mga aplikasyon ug sa operating system ngadto sa usa ka bulag nga palibot, ang mga sulod sa memorya ug executable code diin dili ma-access gikan sa main. sistema, bisan unsa pa ang lebel sa mga pribilehiyo nga magamit. Alang sa ilang pagpatuman, ang mga pagpatuman sa lainlaing mga algorithm sa pag-encrypt, mga gimbuhaton alang sa pagproseso sa mga pribadong yawe ug mga password, mga pamaagi sa pag-authenticate, ug code alang sa pagtrabaho sa kompidensyal nga datos mahimong ibalhin sa enclave.
Kung ang nag-unang sistema makompromiso, ang tig-atake dili makahimo sa pagtino sa impormasyon nga gitipigan sa enclave ug limitado lamang sa external software interface. Ang paggamit sa hardware enclaves mahimong isipon nga usa ka alternatibo sa paggamit sa mga pamaagi base sa encryption o , apan dili sama niini nga mga teknolohiya, ang enclave halos walay epekto sa paghimo sa mga kalkulasyon nga adunay kompidensyal nga datos ug sa kamahinungdanon nagpayano sa kalamboan.
Source: opennet.ru