Linuxi sihtasutus konsortsiumi loomise kohta , mille eesmärk on arendada avatud tehnoloogiaid ja standardeid, mis on seotud turvalise mälusisese töötlemise ja konfidentsiaalse andmetöötlusega. Ühisprojektiga on juba liitunud sellised ettevõtted nagu Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent ja Microsoft, kes kavatsevad teha koostööd neutraalsel platvormil, et töötada välja tehnoloogiad, mis võimaldavad andmetöötluse käigus andmeid isoleerida mälus.
Lõppeesmärk on pakkuda vahendeid kogu andmetöötlustsükli toetamiseks krüpteeritud kujul, leidmata teavet avatud kujul üksikute etappide kaupa. Konsortsiumi huviala hõlmab eelkõige tehnoloogiaid, mis on seotud krüpteeritud andmete kasutamisega arvutusprotsessis, nimelt isoleeritud enklaavide, protokollide kasutamisega. , krüptitud andmete töötlemine mälus ja andmete täielik isoleerimine mälus (näiteks selleks, et takistada hostisüsteemi administraatoril juurdepääsu külalistesüsteemide mälus olevatele andmetele).
Järgmised projektid on sõltumatuks arendamiseks üle antud konfidentsiaalse arvutikonsortsiumi osana:
- Intel loovutas jätkuvaks ühiseks arendamiseks
komponendid tehnoloogia kasutamiseks (Software Guard Extensions) Linuxis, sealhulgas SDK koos tööriistade ja teekide komplektiga. SGX teeb ettepaneku kasutada spetsiaalsete protsessorikäskude komplekti, et eraldada privaatsed mälualad kasutajataseme rakendustele, mille sisu on krüptitud ja mida ei saa lugeda ega muuta isegi ring0-, SMM- ja VMM-režiimides töötava kerneli ja koodiga; - Microsoft andis raamistiku üle , mis võimaldab teil luua rakendusi erinevatele TEE (Trusted Execution Environment) arhitektuuridele, kasutades ühte API-d ja abstraktset enklaavi esitust. Open Enclav abil koostatud rakendus võib töötada erinevate enklaavirakendustega süsteemides. TEE-dest toetatakse praegu ainult Intel SGX-i. ARM TrustZone'i toetamise kood on väljatöötamisel. Toetuse kohta , AMD PSP-d (Platform Security Processor) ja AMD SEV-i (Turvaline krüptimise virtualiseerimine) ei teatata.
- Red Hat andis projekti üle , mis pakub abstraktsioonikihti universaalsete rakenduste loomiseks, mis töötavad enklaavides, mis toetavad erinevaid TEE keskkondi, sõltumata riistvaraarhitektuuridest ja võimaldavad kasutada erinevaid programmeerimiskeeli (kasutatakse WebAssembly-põhist käitusaega). Projekt toetab praegu AMD SEV ja Intel SGX tehnoloogiaid.
Tähelepanuta jäänud sarnaste projektide hulgas võime märkida raamistikku , mille on välja töötanud peamiselt Google'i insenerid, kuid ametlikult toetatud Google'i toode. Raamistik võimaldab teil hõlpsasti kohandada rakendusi, et viia osa suuremat kaitset nõudvatest funktsioonidest kaitstud enklaavi küljele. Asylo riistvaralistest isoleerimismehhanismidest toetab ainult Intel SGX, kuid saadaval on ka virtualiseerimisel põhinevate enklaavide moodustamise tarkvaraline mehhanism.
Tuletage meelde, et enklaav (, Trusted Execution Environment) hõlmab protsessori poolt spetsiaalse isoleeritud ala pakkumist, mis võimaldab teisaldada osa rakenduste ja operatsioonisüsteemi funktsionaalsusest eraldi keskkonda, mille mälu sisu ja käivitatav kood on põhivõrgust ligipääsmatud. süsteemi, olenemata saadaolevate õiguste tasemest. Nende täitmiseks saab enklaavi teisaldada erinevate krüpteerimisalgoritmide teostused, privaatvõtmete ja paroolide töötlemise funktsioonid, autentimisprotseduurid ja konfidentsiaalsete andmetega töötamiseks mõeldud kood.
Kui põhisüsteem on ohustatud, ei saa ründaja enklaavis salvestatud teavet kindlaks teha ja piirdub ainult välise tarkvaraliidesega. Riistvaraliste enklaavide kasutamist võib pidada alternatiiviks meetodite kasutamisele, mis põhinevad krüpteerimine või , kuid erinevalt nendest tehnoloogiatest ei avalda enklaav praktiliselt mingit mõju konfidentsiaalsete andmetega arvutuste sooritamisele ja lihtsustab oluliselt arendust.
Allikas: opennet.ru