Linux հիմնադրամ կոնսորցիում ստեղծելու մասին , որն ուղղված է բաց տեխնոլոգիաների և ստանդարտների մշակմանը, որոնք կապված են հիշողության մեջ անվտանգ մշակման և գաղտնի հաշվարկների հետ: Համատեղ նախագծին արդեն միացել են այնպիսի ընկերություններ, ինչպիսիք են Alibaba-ն, Arm-ը, Baidu-ն, Google-ը, IBM-ը, Intel-ը, Tencent-ը և Microsoft-ը, որոնք մտադիր են համատեղ աշխատել չեզոք հարթակի վրա՝ հաշվարկման գործընթացում հիշողության մեջ տվյալների մեկուսացման տեխնոլոգիաներ մշակելու համար:
Վերջնական նպատակն է միջոցներ տրամադրել տվյալների մշակման ամբողջական ցիկլը գաղտնագրված ձևով աջակցելու համար՝ առանց առանձին փուլերում բաց ձևով տեղեկատվություն գտնելու: Կոնսորցիումի հետաքրքրության ոլորտը հիմնականում ներառում է տեխնոլոգիաներ, որոնք կապված են հաշվողական գործընթացում կոդավորված տվյալների օգտագործման հետ, մասնավորապես՝ մեկուսացված անկլավների օգտագործումը, արձանագրությունները. , հիշողության մեջ գաղտնագրված տվյալների մանիպուլյացիա և հիշողության մեջ տվյալների ամբողջական մեկուսացում (օրինակ՝ թույլ չտալ, որ հյուրընկալող համակարգի ադմինիստրատորը մուտք գործի տվյալներ հյուրերի հիշողության մեջ):
Հետևյալ նախագծերը փոխանցվել են անկախ զարգացման՝ որպես Confidential Computing Consortium-ի մաս.
- Intel-ը հանձնվել է շարունակական համատեղ զարգացման համար
տեխնոլոգիայի օգտագործման բաղադրիչներ (Software Guard Extensions) Linux-ում, ներառյալ SDK՝ մի շարք գործիքներով և գրադարաններով: SGX-ն առաջարկում է օգտագործել պրոցեսորի հատուկ հրահանգների մի շարք՝ անձնական հիշողության տարածքներ հատկացնելու համար օգտագործողի մակարդակի հավելվածներին, որոնց բովանդակությունը կոդավորված է և չի կարող կարդալ կամ փոփոխվել նույնիսկ ring0, SMM և VMM ռեժիմներում աշխատող միջուկի և կոդի միջոցով։ - Microsoft-ը հանձնեց շրջանակը , որը թույլ է տալիս ստեղծել հավելվածներ տարբեր TEE (Trusted Execution Environment) ճարտարապետությունների համար՝ օգտագործելով մեկ API և վերացական անկլավային ներկայացում: Open Enclav-ի միջոցով պատրաստված հավելվածը կարող է գործարկվել տարբեր անկլավային իրականացումներով համակարգերի վրա: TEE-ներից ներկայումս աջակցվում է միայն Intel SGX-ը: ARM TrustZone-ին աջակցելու կոդը մշակման փուլում է: Աջակցության մասին , AMD PSP (Platform Security Processor) և AMD SEV (Secure Encryption Virtualization) չեն հաղորդվում:
- Red Hat-ը հանձնեց նախագիծը , որն ապահովում է աբստրակցիոն շերտ՝ ստեղծելու ունիվերսալ հավելվածներ՝ աշխատելու անկլավներում, որոնք աջակցում են տարբեր TEE միջավայրեր՝ անկախ ապարատային ճարտարապետություններից և թույլ են տալիս օգտագործել տարբեր ծրագրավորման լեզուներ (օգտագործվում է WebAssembly-ի վրա հիմնված գործարկման ժամանակը): Նախագիծը ներկայումս աջակցում է AMD SEV և Intel SGX տեխնոլոգիաներին:
Անտեսված նմանատիպ նախագծերի շարքում կարելի է նշել շրջանակը , որը մշակվել է հիմնականում Google-ի ինժեներների կողմից, բայց պաշտոնապես աջակցվող Google արտադրանք: Շրջանակը թույլ է տալիս հեշտությամբ հարմարեցնել հավելվածները՝ պաշտպանված անկլավի կողմը տեղափոխելու գործառույթներից մի քանիսը, որոնք պահանջում են ավելի մեծ պաշտպանություն: Asylo-ում ապարատային մեկուսացման մեխանիզմներից աջակցվում է միայն Intel SGX-ը, սակայն հասանելի է նաև վիրտուալացման կիրառման հիման վրա անկլավների ձևավորման ծրագրային մեխանիզմ:
Հիշեցնենք, որ անկլավը (, վստահելի կատարման միջավայր) ենթադրում է պրոցեսորի կողմից հատուկ մեկուսացված տարածքի տրամադրում, որը թույլ է տալիս հավելվածների և օպերացիոն համակարգի գործառույթների մի մասը տեղափոխել առանձին միջավայր, որտեղ հիշողության բովանդակությունը և գործարկվող կոդը անհասանելի են հիմնականից։ համակարգ՝ անկախ առկա արտոնությունների մակարդակից: Դրանց կատարման համար գաղտնագրման տարբեր ալգորիթմների իրականացում, մասնավոր բանալիների և գաղտնաբառերի մշակման գործառույթներ, նույնականացման ընթացակարգեր և գաղտնի տվյալների հետ աշխատելու կոդը կարող են տեղափոխվել անկլավ:
Եթե հիմնական համակարգը վտանգված է, հարձակվողը չի կարողանա որոշել անկլավում պահվող տեղեկատվությունը և կսահմանափակվի միայն արտաքին ծրագրային միջերեսով: Սարքավորումների անկլավների օգտագործումը կարելի է դիտարկել որպես վրա հիմնված մեթոդների կիրառման այլընտրանք կոդավորումը կամ , բայց ի տարբերություն այս տեխնոլոգիաների, անկլավը գործնականում չի ազդում գաղտնի տվյալների հետ հաշվարկների կատարման վրա և զգալիորեն հեշտացնում է զարգացումը:
Source: opennet.ru