Linux Foundation konsortion perustamisesta , jonka tavoitteena on kehittää avoimia teknologioita ja standardeja, jotka liittyvät turvalliseen muistin käsittelyyn ja luottamukselliseen tietojenkäsittelyyn. Yhteisprojektiin ovat jo liittyneet yritykset, kuten Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent ja Microsoft, jotka aikovat työskennellä yhdessä neutraalilla alustalla kehittääkseen teknologioita tietojen eristämiseen muistista laskentaprosessin aikana.
Lopullisena tavoitteena on tarjota keinot tukea koko tiedonkäsittelyn sykliä salatussa muodossa ilman, että yksittäisissä vaiheissa löydetään tietoa avoimessa muodossa. Konsortion kiinnostusalueeseen kuuluvat ensisijaisesti tekniikat, jotka liittyvät salatun datan käyttöön laskentaprosessissa, nimittäin eristettyjen erillisalueiden käyttö, protokollat , salattujen tietojen käsittely muistissa ja tietojen täydellinen eristäminen muistissa (esimerkiksi, jotta isäntäjärjestelmän ylläpitäjä ei pääse käsiksi vierasjärjestelmien muistissa oleviin tietoihin).
Seuraavat projektit on siirretty itsenäiseen kehittämiseen osana Confidential Computing Consortiumia:
- Intel luovutti jatkuvaan yhteiseen kehittämiseen
komponentteja tekniikan käyttöön (Software Guard Extensions) Linuxissa, mukaan lukien SDK, jossa on joukko työkaluja ja kirjastoja. SGX ehdottaa erityisten prosessoriohjeiden käyttöä yksityisten muistialueiden allokoimiseksi käyttäjätason sovelluksille, joiden sisältö on salattu ja jota ei voi lukea tai muokata edes ring0-, SMM- ja VMM-tiloissa toimiva ydin ja koodi; - Microsoft luovutti puitteet , jonka avulla voit luoda sovelluksia erilaisille TEE-arkkitehtuureille (Trusted Execution Environment) käyttämällä yhtä API-sovellusliittymää ja abstraktia erillisalueesitystä. Open Enclavilla valmistettu sovellus voi toimia järjestelmissä, joissa on erilaisia erillistoteutuksia. TEE:stä vain Intel SGX on tällä hetkellä tuettu. ARM TrustZonea tukeva koodi on kehitteillä. Tietoja tuesta , AMD PSP:tä (Platform Security Processor) ja AMD SEV:tä (Secure Encryption Virtualization) ei raportoida.
- Red Hat luovutti projektin , joka tarjoaa abstraktiokerroksen universaalien sovellusten luomiseen käytettäväksi erillisissä TEE-ympäristöissä, jotka tukevat laitteistoarkkitehtuureista riippumattomia ja mahdollistavat eri ohjelmointikielten käytön (käytetään WebAssembly-pohjaista ajonaikaa). Projekti tukee tällä hetkellä AMD SEV- ja Intel SGX -teknologioita.
Huomattamattomien vastaavien hankkeiden joukossa voimme mainita puitteet , jonka ovat kehittäneet pääasiassa Googlen insinöörit, mutta virallisesti tuettu Google-tuote. Kehyksen avulla voit helposti mukauttaa sovelluksia siirtämään osan lisäsuojaa vaativista toiminnoista suojatun erillisalueen puolelle. Asylon laitteistoeristysmekanismeista vain Intel SGX on tuettu, mutta saatavilla on myös ohjelmistomekanismi virtualisoinnin käyttöön perustuvien erillisalueiden muodostamiseen.
Muista, että erillisalue (, Trusted Execution Environment) sisältää prosessorin tarjoaman erityisen erillisen alueen, jonka avulla voit siirtää osan sovellusten ja käyttöjärjestelmän toiminnoista erilliseen ympäristöön, jonka muistin sisältöön ja suoritettavaan koodiin ei pääse käsiksi pääkeskuksesta. järjestelmässä käytettävissä olevien oikeuksien tasosta riippumatta. Niiden suorittamista varten erillisalueelle voidaan siirtää erilaisten salausalgoritmien toteutukset, yksityisten avainten ja salasanojen käsittelytoiminnot, todennusmenettelyt sekä koodi luottamuksellisten tietojen kanssa työskentelemiseen.
Jos pääjärjestelmä vaarantuu, hyökkääjä ei pysty määrittämään erillisalueeseen tallennettuja tietoja ja rajoittuu vain ulkoiseen ohjelmistoliitäntään. Vaihtoehtona laitteistopohjaisten menetelmien käytölle voidaan pitää laitteisto-enklaavien käyttöä salaus tai , mutta toisin kuin nämä tekniikat, erillisalue ei käytännössä vaikuta luottamuksellisten tietojen laskelmien suorituskykyyn ja yksinkertaistaa merkittävästi kehitystä.
Lähde: opennet.ru