Fondasyon Linux sou etablisman an nan yon consortium , ki vize pou devlope teknoloji louvri ak estanda ki gen rapò ak pwosesis sekirite nan memwa ak informatique konfidansyèl. Pwojè jwenti a te deja ansanm ak konpayi tankou Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent ak Microsoft, ki gen entansyon travay ansanm sou yon platfòm net pou devlope teknoloji pou izole done nan memwa pandan pwosesis enfòmatik la.
Objektif final la se bay mwayen pou sipòte sik konplè nan pwosesis done sou fòm chiffres, san yo pa jwenn enfòmasyon sou fòm louvri nan etap endividyèl yo. Zòn enterè consortium a gen ladan prensipalman teknoloji ki gen rapò ak itilizasyon done chiffres nan pwosesis enfòmatik la, sètadi, itilizasyon anklav izole, pwotokòl pou , manipilasyon done chiffres nan memwa ak izolasyon konplè nan done nan memwa (pa egzanp, pou anpeche administratè sistèm lame a jwenn aksè nan done nan memwa sistèm envite).
Pwojè sa yo te transfere pou devlopman endepandan kòm yon pati nan Konsòsyòm Konfidential Computing la:
- Intel remèt pou devlopman jwenti kontinye
eleman pou itilize teknoloji (Software Guard Extensions) sou Linux, ki gen ladan yon SDK ak yon seri zouti ak bibliyotèk. SGX pwopoze lè l sèvi avèk yon seri enstriksyon espesyal processeur pou asiyen zòn memwa prive nan aplikasyon nivo itilizatè, ki sa ki ankripte epi yo pa ka li oswa modifye menm pa nwayo a ak kòd ki kouri nan mòd ring0, SMM ak VMM; - Microsoft te remèt fondasyon an , ki pèmèt ou kreye aplikasyon pou divès achitekti TEE (Trusted Execution Environment) lè l sèvi avèk yon sèl API ak reprezantasyon anklav abstrè. Yon aplikasyon ki prepare lè l sèvi avèk Open Enclav ka kouri sou sistèm ki gen diferan aplikasyon anklav. Nan TEE yo, se sèlman Intel SGX ki sipòte kounye a. Kòd pou sipòte ARM TrustZone se nan devlopman. Konsènan sipò , AMD PSP (Platform Security Processor) ak AMD SEV (Secure Encryption Virtualization) pa rapòte.
- Red Hat remèt pwojè a , ki bay yon kouch abstrè pou kreye aplikasyon inivèsèl pou kouri nan anklav ki sipòte divès anviwònman TEE, endepandan de achitekti pyès ki nan konpitè epi ki pèmèt itilizasyon divès langaj pwogramasyon (yo itilize WebAssembly ki baze sou ègzekutabl). Pwojè a kounye a sipòte teknoloji AMD SEV ak Intel SGX.
Pami pwojè ki sanble yo te neglije, nou ka remake kad la , ki devlope sitou pa enjenyè Google, men yon pwodwi Google ofisyèlman sipòte. Fondasyon an pèmèt ou fasil adapte aplikasyon pou deplase kèk nan fonksyonalite ki mande pou ogmante pwoteksyon bò kote yon anklav pwoteje. Nan mekanis izolasyon pyès ki nan konpitè ki nan Asylo, se sèlman Intel SGX ki sipòte, men yon mekanis lojisyèl pou fòme anklav ki baze sou itilizasyon Virtualization disponib tou.
Sonje byen ke anklav la (, Anviwònman Egzekisyon Trusted) enplike pwovizyon an pa processeur a nan yon zòn izole espesyal, ki pèmèt ou deplase yon pati nan fonksyonalite a nan aplikasyon yo ak sistèm nan fonksyone nan yon anviwònman separe, kontni an memwa ak kòd ègzekutabl nan ki pa aksesib soti nan prensipal la. sistèm, kèlkeswa nivo privilèj ki disponib yo. Pou ekzekisyon yo, aplikasyon divès algoritm chifreman, fonksyon pou trete kle prive ak modpas, pwosedi otantifikasyon, ak kòd pou travay ak done konfidansyèl yo ka deplase nan anklav la.
Si sistèm prensipal la konpwomèt, atakè a pa pral kapab detèmine enfòmasyon ki estoke nan anklav la epi yo pral limite sèlman nan koòdone nan lojisyèl ekstèn. Itilize nan anklav pyès ki nan konpitè kapab konsidere kòm yon altènativ a itilize metòd ki baze sou chifreman oswa , men kontrèman ak teknoloji sa yo, anklav la gen nòmalman okenn efè sou pèfòmans nan nan kalkil ak done konfidansyèl ak siyifikativman senplifye devlopman.
Sous: opennet.ru