Organizacija Linux Foundation o osnivanju konzorcija , s ciljem razvoja otvorenih tehnologija i standarda koji se odnose na sigurnu obradu u memoriji i povjerljivo računalstvo. Zajedničkom projektu već su se pridružile tvrtke poput Alibabe, Arma, Baidua, Googlea, IBM-a, Intela, Tencenta i Microsofta koje namjeravaju zajedničkim radom na neutralnoj platformi razvijati tehnologije za izolaciju podataka u memoriji tijekom računalnog procesa.
Konačni cilj je osigurati sredstva za podršku punog ciklusa obrade podataka u šifriranom obliku, bez pronalaženja informacija u otvorenom obliku u pojedinim fazama. Područje interesa konzorcija prvenstveno uključuje tehnologije vezane uz korištenje kriptiranih podataka u računalnim procesima, odnosno korištenje izoliranih enklava, protokola za , manipulacija šifriranih podataka u memoriji i potpuna izolacija podataka u memoriji (na primjer, kako bi se spriječilo administratora glavnog sustava da pristupi podacima u memoriji gostujućih sustava).
Sljedeći projekti preneseni su na samostalan razvoj u sklopu Konzorcija za povjerljivo računalstvo:
- Intel predao na nastavak zajedničkog razvoja
komponente za korištenje tehnologije (Software Guard Extensions) na Linuxu, uključujući SDK sa skupom alata i biblioteka. SGX predlaže korištenje skupa posebnih procesorskih instrukcija za dodjelu privatnih memorijskih područja aplikacijama na korisničkoj razini, čiji su sadržaji šifrirani i ne mogu se čitati ili mijenjati čak ni pomoću kernela i koda koji rade u načinima rada ring0, SMM i VMM; - Microsoft je predao okvir , što vam omogućuje stvaranje aplikacija za različite TEE (Trusted Execution Environment) arhitekture korištenjem jednog API-ja i apstraktne enklave reprezentacije. Aplikacija pripremljena pomoću Open Enclava može se izvoditi na sustavima s različitim implementacijama enklava. Od TEE-ova trenutno je podržan samo Intel SGX. Kod za podršku ARM TrustZone je u razvoju. O podršci , AMD PSP (Platform Security Processor) i AMD SEV (Secure Encryption Virtualization) nisu prijavljeni.
- Red Hat je predao projekt , koji pruža sloj apstrakcije za stvaranje univerzalnih aplikacija za izvođenje u enklavama koje podržavaju različita TEE okruženja, neovisno o hardverskim arhitekturama i dopuštajući korištenje različitih programskih jezika (koristi se runtime temeljen na WebAssemblyju). Projekt trenutno podržava AMD SEV i Intel SGX tehnologije.
Među zanemarenim sličnim projektima možemo primijetiti okvir , koji su uglavnom razvili Googleovi inženjeri, ali službeno podržan Google proizvod. Okvir vam omogućuje jednostavnu prilagodbu aplikacija za premještanje nekih funkcija koje zahtijevaju povećanu zaštitu na stranu zaštićene enklave. Od hardverskih izolacijskih mehanizama u Asylo-u je podržan samo Intel SGX, no dostupan je i softverski mehanizam za formiranje enklava temeljen na korištenju virtualizacije.
Podsjetimo da je enklava (, Trusted Execution Environment) uključuje pružanje posebnog izoliranog područja od strane procesora, koje vam omogućuje premještanje dijela funkcionalnosti aplikacija i operativnog sustava u zasebno okruženje, sadržaj memorije i izvršni kod u kojem su nedostupni iz glavnog sustavu, bez obzira na razinu dostupnih privilegija. Za njihovo izvođenje, implementacije različitih algoritama šifriranja, funkcije za obradu privatnih ključeva i lozinki, procedure provjere autentičnosti i kod za rad s povjerljivim podacima mogu se premjestiti u enklavu.
Ako je glavni sustav ugrožen, napadač neće moći utvrditi informacije pohranjene u enklavi i bit će ograničen samo na vanjsko softversko sučelje. Korištenje hardverskih enklava može se smatrati alternativom korištenju metoda temeljenih na šifriranje ili , ali za razliku od ovih tehnologija, enklava praktički nema utjecaja na izvedbu izračuna s povjerljivim podacima i značajno pojednostavljuje razvoj.
Izvor: opennet.ru