Linukso-Fondaĵo pri la starigo de konsorcio , celita al evoluigado de malfermaj teknologioj kaj normoj ligitaj al sekura en-memora pretigo kaj konfidenca komputiko. Al la komuna projekto jam aliĝis kompanioj kiel Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent kaj Microsoft, kiuj intencas kunlabori sur neŭtrala platformo por disvolvi teknologiojn por izoli datumojn en memoro dum la komputika procezo.
La finfina celo estas disponigi la rimedojn por subteni la plenan ciklon de datumtraktado en ĉifrita formo, sen trovi informojn en malferma formo en individuaj stadioj. La areo de intereso de la konsorcio ĉefe inkluzivas teknologiojn ligitajn al la uzo de ĉifritaj datumoj en la komputika procezo, nome, la uzo de izolitaj enklavoj, protokoloj por , manipulado de ĉifritaj datenoj en memoro kaj kompleta izolado de datenoj en memoro (ekzemple, por malhelpi la gastigan sistemadministranton aliri datenojn en la memoro de gastsistemoj).
La sekvaj projektoj estis transdonitaj por sendependa evoluo kiel parto de la Konfidenca Komputado-Konsorcio:
- Intel transdonis por daŭra komuna evoluo
komponantoj por uzi teknologion (Software Guard Extensions) en Linukso, inkluzive de SDK kun aro de iloj kaj bibliotekoj. SGX proponas uzi aron de specialaj procesoraj instrukcioj por asigni privatajn memorareojn al uzantnivelaj aplikoj, kies enhavo estas ĉifrita kaj ne povas esti legita aŭ modifita eĉ per la kerno kaj kodo funkcianta en ring0, SMM kaj VMM-reĝimoj; - Microsoft transdonis la kadron , permesante al vi krei aplikojn por diversaj TEE (Trusted Execution Environment) arkitekturoj uzante ununuran API kaj abstraktan enklavan reprezentadon. Apliko preparita uzante Open Enclav povas funkcii per sistemoj kun malsamaj enklavaj efektivigoj. El la TEE-oj, nur Intel SGX estas nuntempe subtenata. Kodo por subteni ARM TrustZone estas evoluanta. Pri subteno , AMD PSP (Platform Security Processor) kaj AMD SEV (Secure Encryption Virtualization) ne estas raportitaj.
- Red Hat transdonis la projekton , kiu provizas abstraktan tavolon por krei universalajn aplikojn por funkcii en enklavoj, kiuj subtenas diversajn TEE-mediojn, sendepende de aparatarkitekturoj kaj permesante la uzon de diversaj programlingvoj (WebAssembly-bazita rultempo estas uzata). La projekto nuntempe subtenas teknologiojn AMD SEV kaj Intel SGX.
Inter la preteratentitaj similaj projektoj, ni povas noti la kadron , kiu estas evoluigita ĉefe de Guglo-inĝenieroj, sed Guglo-produkto oficiale subtenata. La kadro ebligas al vi facile adapti aplikojn por movi iujn el la funkcioj, kiuj postulas pliigitan protekton al la flanko de protektita enklavo. El la aparataj izolaj mekanismoj en Asylo, nur Intel SGX estas subtenata, sed ankaŭ disponeblas softvarmekanismo por formi enklavojn bazitajn sur la uzo de virtualigo.
Memoru, ke la enklavo (, Fidinda Ekzekuta Medio) implikas la provizon de la procesoro de speciala izolita areo, kiu ebligas al vi movi parton de la funkcieco de aplikaĵoj kaj la operaciumo en apartan medion, la memorajn enhavojn kaj plenumeblan kodon, en kiuj estas nealireblaj de la ĉefa. sistemo, sendepende de la nivelo de disponeblaj privilegioj. Por ilia ekzekuto, efektivigoj de diversaj ĉifradaj algoritmoj, funkcioj por prilaborado de privataj ŝlosiloj kaj pasvortoj, aŭtentikigproceduroj kaj kodo por labori kun konfidencaj datumoj povas esti movitaj al la enklavo.
Se la ĉefa sistemo estas endanĝerigita, la atakanto ne povos determini la informojn konservitajn en la enklavo kaj estos limigita nur al la ekstera programara interfaco. La uzo de aparataro enklavoj povas esti konsiderata kiel alternativo al la uzo de metodoj bazita sur ĉifrado aŭ , sed male al ĉi tiuj teknologioj, la enklavo havas preskaŭ neniun efikon al la agado de kalkuloj kun konfidencaj datumoj kaj signife simpligas evoluon.
fonto: opennet.ru