Linux негізі консорциум құру туралы , қауіпсіз жадтағы өңдеуге және құпия есептеулерге қатысты ашық технологиялар мен стандарттарды әзірлеуге бағытталған. Бірлескен жобаға Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent және Microsoft сияқты компаниялар қосылды, олар есептеу процесі кезінде жадтағы деректерді оқшаулау технологияларын әзірлеу үшін бейтарап платформада бірлесіп жұмыс істеуге ниетті.
Түпкілікті мақсат - жеке кезеңдерде ашық түрде ақпаратты таппай, шифрланған түрде деректерді өңдеудің толық циклін қолдау құралдарын қамтамасыз ету. Консорциумның қызығушылық аймағына, ең алдымен, есептеу процесінде шифрланған деректерді пайдалануға, атап айтқанда оқшауланған анклавтарды, хаттамаларды пайдалануға байланысты технологиялар кіреді. , жадтағы шифрланған деректермен манипуляциялау және жадтағы деректерді толық оқшаулау (мысалы, хост жүйесінің әкімшісінің қонақ жүйелерінің жадындағы деректерге қол жеткізуін болдырмау үшін).
Құпия есептеулер консорциумының бөлігі ретінде келесі жобалар тәуелсіз әзірлеуге берілді:
- Intel бірлескен дамуын жалғастыру үшін тапсырды
технологияларды қолдануға арналған компоненттер (Software Guard Extensions) Linux жүйесінде, соның ішінде құралдар мен кітапханалар жиынтығы бар SDK. SGX мазмұны шифрланған және тіпті ring0, SMM және VMM режимдерінде жұмыс істейтін ядро мен код арқылы оқуға немесе өзгертуге болмайтын пайдаланушы деңгейіндегі қолданбаларға жеке жад аймақтарын бөлу үшін арнайы процессор нұсқауларының жинағын пайдалануды ұсынады; - Майкрософт фреймворкті тапсырды , бір API және дерексіз анклав көрінісін пайдаланып, әртүрлі TEE (Сенімді орындау ортасы) архитектуралары үшін қолданбаларды жасауға мүмкіндік береді. Open Enclav көмегімен дайындалған қолданба әртүрлі анклав енгізулері бар жүйелерде жұмыс істей алады. Қазіргі уақытта TEE ішінен тек Intel SGX қолдау көрсетіледі. ARM TrustZone қолдау коды әзірленуде. Қолдау туралы , AMD PSP (Platform Security Processor) және AMD SEV (Secure Encryption Virtualization) туралы хабарланбайды.
- Red Hat жобаны тапсырды , ол аппараттық архитектураларға тәуелсіз және әртүрлі бағдарламалау тілдерін пайдалануға мүмкіндік беретін (WebAssembly негізіндегі орындалу уақыты пайдаланылады) әртүрлі TEE орталарын қолдайтын анклавтарда жұмыс істеу үшін әмбебап қолданбаларды жасау үшін абстракциялық қабатты қамтамасыз етеді. Жоба қазіргі уақытта AMD SEV және Intel SGX технологияларын қолдайды.
Назардан тыс қалған ұқсас жобалардың ішінде біз негізді атап өтуге болады , оны негізінен Google инженерлері әзірлеген, бірақ ресми қолдау көрсетілетін Google өнімі. Фреймворк қорғанысты күшейтуді талап ететін кейбір функцияларды қорғалған анклав жағына жылжыту үшін қолданбаларды оңай бейімдеуге мүмкіндік береді. Asylo-дағы аппараттық оқшаулау механизмдерінің ішінен тек Intel SGX қолдау көрсетіледі, бірақ виртуализацияны пайдалануға негізделген анклавтарды қалыптастырудың бағдарламалық механизмі де қол жетімді.
Еске сала кетейік, анклав (, Trusted Execution Environment) процессордың қосымшалар мен операциялық жүйенің функционалдық мүмкіндіктерінің бір бөлігін жеке ортаға, жад мазмұны мен орындалатын кодты негізгіден қолжетімсіз етіп жылжытуға мүмкіндік беретін арнайы оқшауланған аймақты қамтамасыз етуді қамтиды. қолжетімді артықшылықтар деңгейіне қарамастан жүйе. Оларды орындау үшін анклавқа әртүрлі шифрлау алгоритмдерін, жеке кілттер мен парольдерді өңдеу функцияларын, аутентификация процедураларын және құпия деректермен жұмыс істеу кодын енгізуге болады.
Егер негізгі жүйе бұзылса, шабуылдаушы анклавта сақталған ақпаратты анықтай алмайды және тек сыртқы бағдарламалық интерфейспен шектеледі. негізделген әдістерді пайдалану балама ретінде аппараттық анклавтарды пайдалану қарастырылуы мүмкін шифрлау немесе , бірақ бұл технологиялардан айырмашылығы, анклав құпия деректермен есептеулерді орындауға іс жүзінде әсер етпейді және дамуды айтарлықтай жеңілдетеді.
Ақпарат көзі: opennet.ru