Линуксийн сан консорциум байгуулах тухай , аюулгүй санах ойн боловсруулалт, нууц тооцоололтой холбоотой нээлттэй технологи, стандартыг боловсруулахад чиглэгдсэн. Хамтарсан төсөлд Алибаба, Арм, Байду, Google, IBM, Intel, Tencent, Майкрософт зэрэг компаниуд аль хэдийн нэгдсэн бөгөөд тооцооллын явцад санах ойн өгөгдлийг тусгаарлах технологийг хөгжүүлэх зорилгоор төвийг сахисан платформ дээр хамтран ажиллахаар төлөвлөж байна.
Эцсийн зорилго нь тодорхой үе шатанд нээлттэй хэлбэрээр мэдээлэл хайхгүйгээр шифрлэгдсэн хэлбэрээр өгөгдөл боловсруулах бүрэн мөчлөгийг дэмжих хэрэгслээр хангах явдал юм. Консорциумын сонирхлын талбарт голчлон тооцоолох процесст шифрлэгдсэн өгөгдлийг ашиглахтай холбоотой технологи, тухайлбал тусгаарлагдсан анклав, протокол ашиглах зэрэг орно. , санах ой дахь шифрлэгдсэн өгөгдлийг удирдах, санах ой дахь өгөгдлийг бүрэн тусгаарлах (жишээлбэл, хост системийн администратор зочны системийн санах ой дахь өгөгдөлд хандахаас урьдчилан сэргийлэх).
Дараах төслүүдийг Нууц Тооцооллын Консорциумын нэг хэсэг болгон бие даан хөгжүүлэхээр шилжүүлэв.
- Хамтарсан хөгжлийг үргэлжлүүлэхийн тулд Intel-ийг хүлээлгэн өгсөн
технологийг ашиглах бүрэлдэхүүн хэсгүүд Линукс дээрх (Програм хангамжийн хамгаалалтын өргөтгөлүүд), үүнд багц хэрэгсэл, номын сан бүхий SDK орно. SGX нь ring0, SMM, VMM горимд ажиллаж байгаа цөм болон кодоор ч унших, өөрчлөх боломжгүй, агуулга нь шифрлэгдсэн, хэрэглэгчийн түвшний програмуудад хувийн санах ойн талбайг хуваарилахын тулд тусгай процессорын зааврыг ашиглахыг санал болгож байна; - Майкрософт хүрээг хүлээлгэн өгсөн , нэг API болон хийсвэр анклав дүрслэлийг ашиглан төрөл бүрийн TEE (Итгэмжлэгдсэн гүйцэтгэлийн орчин) архитектурт зориулсан програмуудыг үүсгэх боломжийг танд олгоно. Open Enclav ашиглан бэлтгэсэн програм нь өөр өөр анклав хэрэгжүүлэлт бүхий системүүд дээр ажиллах боломжтой. TEE-ээс одоогоор зөвхөн Intel SGX-г дэмждэг. ARM TrustZone-г дэмжих кодыг боловсруулж байна. Дэмжлэгийн тухай , AMD PSP (Платформын аюулгүй байдлын процессор) болон AMD SEV (Secure Encryption Virtualization) гэж мэдээлээгүй.
- Red Hat төслийг хүлээлгэн өглөө Техник хангамжийн архитектураас хамааралгүй, янз бүрийн програмчлалын хэлийг ашиглах боломжийг олгодог (WebAssembly-д суурилсан ажиллах цагийг ашигладаг) янз бүрийн TEE орчныг дэмждэг анклавуудад ажиллах бүх нийтийн програмуудыг бий болгох хийсвэр давхаргыг өгдөг. Төсөл нь одоогоор AMD SEV болон Intel SGX технологийг дэмждэг.
Үл тоомсорлож байсан ижил төстэй төслүүдийн дунд бид хүрээг тэмдэглэж болно , үүнийг Google-ийн инженерүүд голчлон бүтээдэг боловч албан ёсоор дэмжигдсэн Google бүтээгдэхүүн. Энэхүү хүрээ нь хамгаалалтыг нэмэгдүүлэх шаардлагатай зарим функцийг хамгаалагдсан анклавын тал руу шилжүүлэхийн тулд програмуудыг хялбархан тохируулах боломжийг олгодог. Asylo дахь техник хангамжийг тусгаарлах механизмуудаас зөвхөн Intel SGX дэмждэг боловч виртуалчлалын хэрэглээнд суурилсан анклав үүсгэх програм хангамжийн механизм бас байдаг.
Анклав (, Trusted Execution Environment) нь процессороос тусгай тусгаарлагдсан талбайг хангахыг хамардаг бөгөөд энэ нь програмууд болон үйлдлийн системийн зарим функцийг тусдаа орчинд, санах ойн агуулга, гүйцэтгэх кодыг үндсэн төхөөрөмжөөс ашиглах боломжгүй болгон шилжүүлэх боломжийг олгодог. боломжуудын түвшингээс үл хамааран систем. Тэдгээрийг хэрэгжүүлэхийн тулд янз бүрийн шифрлэлтийн алгоритмуудын хэрэгжилт, хувийн түлхүүр, нууц үг боловсруулах функц, баталгаажуулалтын процедур, нууц мэдээлэлтэй ажиллах кодыг анклав руу шилжүүлж болно.
Хэрэв үндсэн систем эвдэрсэн бол халдагч нь анклавд хадгалагдсан мэдээллийг тодорхойлох боломжгүй бөгөөд зөвхөн гадаад програм хангамжийн интерфейсээр хязгаарлагдах болно. Техник хангамжийн анклавуудыг ашиглах нь дээр суурилсан аргуудыг ашиглах өөр хувилбар гэж үзэж болно шифрлэлт эсвэл , гэхдээ эдгээр технологиос ялгаатай нь анклав нь нууц мэдээлэл бүхий тооцооллын гүйцэтгэлд бараг ямар ч нөлөө үзүүлэхгүй бөгөөд хөгжлийг ихээхэн хялбаршуулдаг.
Эх сурвалж: opennet.ru