プロホスト > ブログ > インターネットニュース > IBM、Google、Microsoft、Intel がオープン データ保護テクノロジの開発で提携を結んだ

IBM、Google、Microsoft、Intel がオープン データ保護テクノロジの開発で提携を結んだ

Linux財団 発表した コンソーシアム設立について 機密コンピューティングコンソーシアム、安全なメモリ内処理と機密コンピューティングに関連するオープン テクノロジと標準の開発を目的としています。 この共同プロジェクトにはすでにアリババ、アーム、バイドゥ、グーグル、IBM、インテル、テンセント、マイクロソフトなどの企業が参加しており、中立的なプラットフォームで協力してコンピューティングプロセス中にメモリ内のデータを分離する技術を開発する予定だ。

最終的な目標は、個々の段階で公開形式の情報を見つけることなく、暗号化形式でのデータ処理の全サイクルをサポートする手段を提供することです。 コンソーシアムの関心分野には、主にコンピューティング プロセスにおける暗号化データの使用に関連するテクノロジー、つまり、隔離されたエンクレーブの使用、プロトコルの使用が含まれます。 マルチパーティコンピューティング、メモリ内の暗号化されたデータの操作、およびメモリ内のデータの完全な分離(たとえば、ホスト システム管理者がゲスト システムのメモリ内のデータにアクセスできないようにするため)。

以下のプロジェクトは、Confidential Computing Consortium の一部として独立開発のために移管されました。

  • インテルは共同開発継続のために引き渡された 以前に開かれた
    テクノロジーを利用するためのコンポーネント SGX Linux 上の (Software Guard Extensions)。ツールとライブラリのセットを備えた SDK が含まれます。 SGX は、一連の特別なプロセッサ命令を使用してプライベート メモリ領域をユーザー レベルのアプリケーションに割り当てることを提案しています。その内容は暗号化されており、リング 0、SMM、および VMM モードで実行されているカーネルやコードでも読み取ったり変更したりすることはできません。

  • マイクロソフトがフレームワークを引き渡した オープンエンクラヴを使用すると、単一の API と抽象エンクレーブ表現を使用して、さまざまな TEE (信頼された実行環境) アーキテクチャ用のアプリケーションを作成できます。 Open Enclav を使用して準備されたアプリケーションは、さまざまなエンクレーブ実装のシステム上で実行できます。 TEE のうち、現在サポートされているのは Intel SGX のみです。 ARM TrustZone をサポートするコードは開発中です。 サポートについて キーストーン, AMD PSP (Platform Security Processor) および AMD SEV (Secure Encryption Virtualization) は報告されていません。
  • Red Hat がプロジェクトを引き継いだ エナークスこれは、さまざまな TEE 環境をサポートするエンクレーブで実行するユニバーサル アプリケーションを作成するための抽象化レイヤーを提供し、ハードウェア アーキテクチャに依存せず、さまざまなプログラミング言語の使用を可能にします (WebAssembly ベースのランタイムが使用されます)。 このプロジェクトは現在、AMD SEV および Intel SGX テクノロジーをサポートしています。

見落とされている類似プロジェクトの中で、注目すべきフレームワークは次のとおりです。 アシロはGoogleのエンジニアが中心となって開発されていますが、 ではない 正式にサポートされている Google 製品。 このフレームワークを使用すると、アプリケーションを簡単に適応させて、保護の強化が必要な機能の一部を保護されたエンクレーブ側に移動できます。 Asylo のハードウェア分離メカニズムのうち、サポートされているのは Intel SGX のみですが、仮想化の使用に基づいてエンクレーブを形成するソフトウェア メカニズムも利用できます。

飛び地 (TEE、信頼された実行環境)には、プロセッサーによる特別な隔離領域の提供が含まれます。これにより、アプリケーションとオペレーティング システムの機能の一部を、メイン環境からアクセスできないメモリ内容と実行可能コードである別の環境に移動できます。利用可能な権限のレベルに関係なく、システムに影響を与えます。 これらを実行するために、さまざまな暗号化アルゴリズムの実装、秘密キーとパスワードを処理する関数、認証手順、機密データを操作するコードをエンクレーブに移動できます。

メイン システムが侵害された場合、攻撃者はエンクレーブに保存されている情報を特定できなくなり、外部ソフトウェア インターフェイスのみに限定されます。 ハードウェア エンクレーブの使用は、以下に基づく方法の使用の代替として考慮できます。 準同型 暗号化または 機密コンピューティングプロトコルただし、これらのテクノロジーとは異なり、エンクレーブは機密データを使用した計算のパフォーマンスに実質的に影響を与えず、開発を大幅に簡素化します。

出所: オープンネット.ru

コメントを追加します