Fundación Linux sobre la creación de un consorcio , cuyo objetivo es desarrollar tecnologías y estándares abiertos relacionados con el procesamiento seguro en memoria y la informática confidencial. Al proyecto conjunto ya se han sumado empresas como Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent y Microsoft, que pretenden trabajar juntas en una plataforma neutral para desarrollar tecnologías para aislar datos en la memoria durante el proceso informático.
El objetivo final es proporcionar los medios para respaldar el ciclo completo de procesamiento de datos en forma cifrada, sin encontrar información abierta en etapas individuales. El área de interés del consorcio incluye principalmente tecnologías relacionadas con el uso de datos cifrados en el proceso informático, a saber, el uso de enclaves aislados, protocolos para , manipulación de datos cifrados en la memoria y aislamiento completo de los datos en la memoria (por ejemplo, para evitar que el administrador del sistema host acceda a los datos en la memoria de los sistemas invitados).
Los siguientes proyectos han sido transferidos para desarrollo independiente como parte del Confidential Computing Consortium:
- Intel entregada para un desarrollo conjunto continuo
componentes para el uso de la tecnología (Software Guard Extensions) en Linux, incluido un SDK con un conjunto de herramientas y bibliotecas. SGX propone utilizar un conjunto de instrucciones especiales del procesador para asignar áreas de memoria privadas a aplicaciones de nivel de usuario, cuyo contenido está cifrado y no puede ser leído ni modificado ni siquiera por el kernel y el código que se ejecuta en los modos ring0, SMM y VMM; - Microsoft entregó el marco , lo que le permite crear aplicaciones para varias arquitecturas TEE (Trusted Execution Environment) utilizando una única API y una representación de enclave abstracta. Una aplicación preparada con Open Enclav puede ejecutarse en sistemas con diferentes implementaciones de enclave. De los TEE, actualmente solo se admite Intel SGX. El código para admitir ARM TrustZone está en desarrollo. Acerca del soporte , AMD PSP (procesador de seguridad de plataforma) y AMD SEV (virtualización de cifrado seguro) no se informan.
- Red Hat entregó el proyecto , que proporciona una capa de abstracción para crear aplicaciones universales que se ejecutarán en enclaves que admitan varios entornos TEE, independientemente de las arquitecturas de hardware y que permitan el uso de varios lenguajes de programación (se utiliza el tiempo de ejecución basado en WebAssembly). Actualmente, el proyecto es compatible con las tecnologías AMD SEV e Intel SGX.
Entre los proyectos similares pasados por alto, podemos destacar el marco , que es desarrollado principalmente por ingenieros de Google, pero un producto de Google con soporte oficial. El marco le permite adaptar fácilmente las aplicaciones para mover algunas de las funciones que requieren mayor protección al lado de un enclave protegido. De los mecanismos de aislamiento de hardware en Asylo, solo se admite Intel SGX, pero también está disponible un mecanismo de software para formar enclaves basado en el uso de virtualización.
Recordemos que el enclave (, entorno de ejecución confiable) implica la provisión por parte del procesador de un área aislada especial, que le permite mover parte de la funcionalidad de las aplicaciones y el sistema operativo a un entorno separado, cuyo contenido de la memoria y el código ejecutable son inaccesibles desde el principal. sistema, independientemente del nivel de privilegios disponibles. Para su ejecución, se pueden trasladar al enclave implementaciones de varios algoritmos de cifrado, funciones para procesar claves privadas y contraseñas, procedimientos de autenticación y código para trabajar con datos confidenciales.
Si el sistema principal se ve comprometido, el atacante no podrá determinar la información almacenada en el enclave y estará limitado únicamente a la interfaz del software externo. El uso de enclaves hardware puede considerarse como una alternativa al uso de métodos basados en cifrado o , pero a diferencia de estas tecnologías, el enclave prácticamente no tiene ningún efecto sobre la realización de cálculos con datos confidenciales y simplifica significativamente el desarrollo.
Fuente: opennet.ru