Linux Foundation консорциум тузуу женунде , коопсуз эстутумда иштетүү жана жашыруун эсептөө менен байланышкан ачык технологияларды жана стандарттарды иштеп чыгууга багытталган. Биргелешкен долбоорго Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent жана Microsoft сыяктуу компаниялар кошулган, алар нейтралдуу платформада биргелешип иштөөгө ниеттенип, эсептөө процессинде эстутумдагы маалыматтарды изоляциялоо технологияларын иштеп чыгууга ниеттенүүдө.
Түпкү максат жеке этаптарда ачык формада маалыматты таппай туруп, шифрленген түрдө маалыматтарды иштеп чыгуунун толук циклин колдоо үчүн каражаттарды камсыз кылуу болуп саналат. Консорциумдун кызыгуу чөйрөсү биринчи кезекте эсептөө процессинде шифрленген маалыматтарды колдонууга байланышкан технологияларды, тактап айтканда, изоляцияланган анклавдарды, протоколдорду колдонууну камтыйт. , эстутумдагы шифрленген маалыматтарды манипуляциялоо жана эстутумдагы маалыматтарды толук изоляциялоо (мисалы, хост тутумунун администраторуна конок системаларынын эс тутумундагы маалыматтарга кирүүгө жол бербөө үчүн).
Конфиденциалдуу эсептөө консорциумунун алкагында төмөнкү долбоорлор өз алдынча иштеп чыгууга өткөрүлүп берилди:
- Intel биргелешкен өнүктүрүүнү улантуу үчүн тапшырды
технологияларды колдонуу үчүн компоненттер (Software Guard Extensions) Linux, анын ичинде куралдар жана китепканалар топтому бар SDK. SGX колдонуучу деңгээлиндеги тиркемелерге жеке эстутум аймактарын бөлүштүрүү үчүн атайын процессордук нускамалардын топтомун колдонууну сунуштайт, алардын мазмуну шифрленген жана ring0, SMM жана VMM режимдеринде иштеген ядро жана код тарабынан да окулушу же өзгөртүлүшү мүмкүн эмес; - Microsoft алкакты өткөрүп берди , бир API жана абстракттуу анклав өкүлчүлүгүн колдонуу менен ар кандай TEE (Ишенимдүү аткаруу чөйрөсү) архитектуралары үчүн тиркемелерди түзүүгө мүмкүндүк берет. Open Enclav аркылуу даярдалган тиркеме ар кандай анклав ишке ашыруулары бар системаларда иштей алат. Учурда TEEлердин ичинен Intel SGX гана колдоого алынат. ARM TrustZone колдоо коду иштелип чыгууда. Колдоо жөнүндө , AMD PSP (Platform Security Processor) жана AMD SEV (Secure Encryption Virtualization) билдирилген эмес.
- Red Hat долбоорду тапшырды , ал аппараттык архитектурадан көз карандысыз жана ар кандай программалоо тилдерин колдонууга мүмкүндүк берүүчү ар кандай TEE чөйрөлөрүн колдогон анклавдарда иштөө үчүн универсалдуу тиркемелерди түзүү үчүн абстракциялык катмарды камсыз кылат (WebAssembly негизинде иштөө убактысы колдонулат). Долбоор учурда AMD SEV жана Intel SGX технологияларын колдойт.
Көз жаздымда калган окшош долбоорлордун ичинен биз алкакты белгилей алабыз , негизинен Google инженерлери тарабынан иштелип чыккан, бирок расмий колдоого алынган Google продукт. Алкак коргоону күчөтүүнү талап кылган айрым функцияларды корголгон анклав тарапка жылдыруу үчүн колдонмолорду оңой ыңгайлаштырууга мүмкүндүк берет. Asyloдо аппараттык изоляция механизмдеринен Intel SGX гана колдоого алынат, бирок виртуалдаштырууну колдонуунун негизинде анклавдарды түзүү үчүн программалык механизм да бар.
Эске салсак, анклав (, Trusted Execution Environment) процессор тарабынан атайын обочолонгон аймакты камсыз кылууну камтыйт, ал тиркемелердин функционалдуулугунун бир бөлүгүн жана операциялык системаны өзүнчө чөйрөгө, эстутумдун мазмунун жана негизгиден жетүү мүмкүн болбогон аткарылуучу кодду жылдырууга мүмкүндүк берет. жеткиликтүү артыкчылыктардын деңгээлине карабастан система. Аларды аткаруу үчүн анклавга ар кандай шифрлөө алгоритмдерин ишке ашыруу, жеке ачкычтарды жана паролдорду иштетүү функциялары, аутентификация процедуралары жана купуя маалыматтар менен иштөө коду жылдырылышы мүмкүн.
Эгерде негизги система бузулса, чабуулчу анклавда сакталган маалыматты аныктай албайт жана тышкы программалык интерфейс менен гана чектелет. негизделген ыкмаларды колдонууга альтернатива катары аппараттык анклавдарды колдонуу каралышы мүмкүн шифрлөө же , бирок бул технологиялардан айырмаланып, анклав жашыруун маалыматтар менен эсептөөлөрдү аткарууга дээрлик эч кандай таасир этпейт жана өнүгүүнү кыйла жөнөкөйлөтөт.
Source: opennet.ru