Linux Foundation om etablering af et konsortium , rettet mod at udvikle åbne teknologier og standarder relateret til sikker in-memory-behandling og fortrolig databehandling. Det fælles projekt har allerede fået selskab af virksomheder som Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent og Microsoft, som har til hensigt at arbejde sammen på en neutral platform for at udvikle teknologier til at isolere data i hukommelsen under computerprocessen.
Det ultimative mål er at give midlerne til at understøtte den fulde cyklus af databehandling i krypteret form, uden at finde information i åben form på individuelle stadier. Konsortiets interesseområde omfatter primært teknologier relateret til brugen af krypterede data i computerprocessen, nemlig brugen af isolerede enklaver, protokoller mhp. , manipulation af krypterede data i hukommelsen og fuldstændig isolering af data i hukommelsen (for eksempel for at forhindre værtssystemadministratoren i at få adgang til data i gæstesystemers hukommelse).
Følgende projekter er blevet overført til selvstændig udvikling som en del af Confidential Computing Consortium:
- Intel afleveret til fortsat fælles udvikling
komponenter til brug af teknologi (Software Guard Extensions) på Linux, inklusive et SDK med et sæt værktøjer og biblioteker. SGX foreslår at bruge et sæt specielle processorinstruktioner til at allokere private hukommelsesområder til applikationer på brugerniveau, hvis indhold er krypteret og ikke kan læses eller ændres, selv af kernen og koden, der kører i ring0, SMM og VMM modes; - Microsoft overdrog rammen , hvilket giver dig mulighed for at oprette applikationer til forskellige TEE-arkitekturer (Trusted Execution Environment) ved hjælp af en enkelt API og abstrakt enklave-repræsentation. En applikation, der er udarbejdet ved hjælp af Open Enclav, kan køre på systemer med forskellige enklaveimplementeringer. Af TEE'erne er kun Intel SGX understøttet i øjeblikket. Kode til støtte for ARM TrustZone er under udvikling. Om support , AMD PSP (Platform Security Processor) og AMD SEV (Secure Encryption Virtualization) rapporteres ikke.
- Red Hat afleverede projektet , som giver et abstraktionslag til at skabe universelle applikationer til at køre i enklaver, der understøtter forskellige TEE-miljøer, uafhængigt af hardwarearkitekturer og tillader brugen af forskellige programmeringssprog (WebAssembly-baseret runtime bruges). Projektet understøtter i øjeblikket AMD SEV- og Intel SGX-teknologier.
Blandt de oversete lignende projekter kan vi notere rammerne , som primært er udviklet af Google-ingeniører, men et officielt understøttet Google-produkt. Rammerne giver dig mulighed for nemt at tilpasse applikationer til at flytte noget af den funktionalitet, der kræver øget beskyttelse, til siden af en beskyttet enklave. Af hardware-isoleringsmekanismerne i Asylo er det kun Intel SGX, der understøttes, men en softwaremekanisme til at danne enklaver baseret på brug af virtualisering er også tilgængelig.
Husk at enklaven (, Trusted Execution Environment) involverer processorens levering af et særligt isoleret område, som giver dig mulighed for at flytte en del af funktionaliteten af applikationer og operativsystemet ind i et separat miljø, hvor hukommelsesindholdet og den eksekverbare kode er utilgængelige fra hoved system, uanset niveauet af tilgængelige privilegier. Til deres eksekvering kan implementeringer af forskellige krypteringsalgoritmer, funktioner til behandling af private nøgler og adgangskoder, autentificeringsprocedurer og kode til at arbejde med fortrolige data flyttes til enklaven.
Hvis hovedsystemet kompromitteres, vil angriberen ikke være i stand til at bestemme de oplysninger, der er lagret i enklaven, og vil kun være begrænset til den eksterne softwaregrænseflade. Brugen af hardware-enklaver kan betragtes som et alternativ til brugen af metoder baseret på kryptering eller , men i modsætning til disse teknologier har enklaven stort set ingen effekt på udførelsen af beregninger med fortrolige data og forenkler udviklingen væsentligt.
Kilde: opennet.ru