Linux Fundazioa partzuergo bat sortzeari buruz , memoriako prozesamendu seguruarekin eta isilpeko informatikarekin lotutako teknologia eta estandar irekiak garatzera zuzenduta. Proiektu bateratuarekin bat egin dute dagoeneko Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent eta Microsoft bezalako enpresek, eta plataforma neutral batean lan egiteko asmoa dute konputazio prozesuan zehar memorian datuak isolatzeko teknologiak garatzeko.
Azken helburua datuak prozesatzeko ziklo osoa enkriptatutako forman laguntzeko bitartekoak eskaintzea da, fase indibidualetan informazioa forma irekian aurkitu gabe. Partzuergoaren interes-eremuak informatika-prozesuan enkriptatutako datuen erabilerarekin lotutako teknologiak hartzen ditu batez ere, hots, enklabe isolatuen erabilera, protokoloak. , enkriptatutako datuen manipulazioa memorian eta datuen erabateko isolamendua memorian (adibidez, sistema ostalariaren administratzaileak sistema gonbidatuen memoriako datuak atzitzea eragozteko).
Konfidentzial Konputazio Partzuergoaren baitan, garapen independenterako proiektu hauek transferitu dira:
- Intelek garapen bateratua jarraitzeko entregatu zuen
teknologia erabiltzeko osagaiak (Software Guard Extensions) Linux-en, tresna eta liburutegi multzo batekin SDK bat barne. SGX-k prozesadorearen jarraibide berezien multzo bat erabiltzea proposatzen du memoria pribatuko eremuak erabiltzaile-mailako aplikazioei esleitzeko, horien edukiak enkriptatuta dauden eta ring0, SMM eta VMM moduetan exekutatzen diren nukleoak eta kodeak ere irakurri edo aldatu ezin daitezkeenak; - Microsoft-ek esparrua entregatu zuen , TEE (Trusted Execution Environment) hainbat arkitekturatarako aplikazioak sortzeko aukera ematen dizu API bakarra eta enklabe irudikapen abstraktua erabiliz. Open Enclav erabiliz prestatutako aplikazio bat enklabe inplementazio desberdinak dituzten sistemetan exekutatu daiteke. TEEetatik, Intel SGX bakarrik onartzen da gaur egun. ARM TrustZone laguntzeko kodea garatzen ari da. Laguntzari buruz , AMD PSP (Platform Security Processor) eta AMD SEV (Secure Encryption Virtualization) ez dira jakinarazi.
- Red Hat-ek proiektua entregatu zuen , abstrakzio-geruza bat eskaintzen duena TEE ingurune desberdinak onartzen dituzten enklabeetan exekutatzeko aplikazio unibertsalak sortzeko, hardware-arkitekturatik independentea eta hainbat programazio-lengoaia erabiltzeko aukera ematen duena (WebAssembly-n oinarritutako exekuzio-denbora erabiltzen da). Proiektuak AMD SEV eta Intel SGX teknologiak onartzen ditu gaur egun.
Ezagutzen diren antzeko proiektuen artean, markoa nabarmen dezakegu , batez ere Google ingeniariek garatzen dutena, baina ofizialki onartzen duen Google produktu bat. Esparruak aplikazioak erraz egokitzeko aukera ematen du babes handiagoa behar duen funtzionalitate batzuk babestutako enklabe baten albo batera eramateko. Asyloko hardware isolatzeko mekanismoetatik, Intel SGX bakarrik onartzen da, baina birtualizazioaren erabileran oinarritutako enklabeak osatzeko software mekanismo bat ere eskuragarri dago.
Gogoratu enklabea (, Trusted Execution Environment) prozesadoreak eremu isolatu berezi bat hornitzea dakar, eta horri esker, aplikazioen eta sistema eragilearen funtzionalitatearen zati bat ingurune berezi batera mugi dezakezu, memoriaren edukia eta kode exekutagarria nagusitik eskuraezinak direnak. sistema, erabilgarri dagoen pribilegio-maila edozein dela ere. Haien exekuziorako, enklabera eraman daitezke zifratze algoritmo ezberdinen inplementazioak, gako pribatuak eta pasahitzak prozesatzeko funtzioak, autentifikazio prozedurak eta isilpeko datuekin lan egiteko kodea.
Sistema nagusia arriskuan jartzen bada, erasotzaileak ezin izango du enklabean gordetako informazioa zehaztu eta kanpoko software interfazera soilik mugatuko da. Hardware-enklabeak erabiltzean oinarritutako metodoen erabileraren alternatibatzat har daiteke enkriptatzea edo , baina teknologia hauek ez bezala, enklabeak ez du ia eraginik datu konfidentzialak dituzten kalkuluen errendimenduan eta garapena nabarmen errazten du.
Iturria: opennet.ru