Линуксийн сан
Эцсийн зорилго нь тодорхой үе шатанд нээлттэй хэлбэрээр мэдээлэл хайхгүйгээр шифрлэгдсэн хэлбэрээр өгөгдөл боловсруулах бүрэн мөчлөгийг дэмжих хэрэгслээр хангах явдал юм. Консорциумын сонирхлын талбарт голчлон тооцоолох процесст шифрлэгдсэн өгөгдлийг ашиглахтай холбоотой технологи, тухайлбал тусгаарлагдсан анклав, протокол ашиглах зэрэг орно.
Дараах төслүүдийг Нууц Тооцооллын Консорциумын нэг хэсэг болгон бие даан хөгжүүлэхээр шилжүүлэв.
- Хамтарсан хөгжлийг үргэлжлүүлэхийн тулд Intel-ийг хүлээлгэн өгсөн
өмнө нь нээгдсэн
технологийг ашиглах бүрэлдэхүүн хэсгүүдSGX Линукс дээрх (Програм хангамжийн хамгаалалтын өргөтгөлүүд), үүнд багц хэрэгсэл, номын сан бүхий SDK орно. SGX нь ring0, SMM, VMM горимд ажиллаж байгаа цөм болон кодоор ч унших, өөрчлөх боломжгүй, агуулга нь шифрлэгдсэн, хэрэглэгчийн түвшний програмуудад хувийн санах ойн талбайг хуваарилахын тулд тусгай процессорын зааврыг ашиглахыг санал болгож байна; - Майкрософт хүрээг хүлээлгэн өгсөн
Энклавыг нээх , нэг API болон хийсвэр анклав дүрслэлийг ашиглан төрөл бүрийн TEE (Итгэмжлэгдсэн гүйцэтгэлийн орчин) архитектурт зориулсан програмуудыг үүсгэх боломжийг танд олгоно. Open Enclav ашиглан бэлтгэсэн програм нь өөр өөр анклав хэрэгжүүлэлт бүхий системүүд дээр ажиллах боломжтой. TEE-ээс одоогоор зөвхөн Intel SGX-г дэмждэг. ARM TrustZone-г дэмжих кодыг боловсруулж байна. Дэмжлэгийн тухайтулгуур чулуу , AMD PSP (Платформын аюулгүй байдлын процессор) болон AMD SEV (Secure Encryption Virtualization) гэж мэдээлээгүй. - Red Hat төслийг хүлээлгэн өглөө
Enarx Техник хангамжийн архитектураас хамааралгүй, янз бүрийн програмчлалын хэлийг ашиглах боломжийг олгодог (WebAssembly-д суурилсан ажиллах цагийг ашигладаг) янз бүрийн TEE орчныг дэмждэг анклавуудад ажиллах бүх нийтийн програмуудыг бий болгох хийсвэр давхаргыг өгдөг. Төсөл нь одоогоор AMD SEV болон Intel SGX технологийг дэмждэг.
Үл тоомсорлож байсан ижил төстэй төслүүдийн дунд бид хүрээг тэмдэглэж болно
Анклав (
Хэрэв үндсэн систем эвдэрсэн бол халдагч нь анклавд хадгалагдсан мэдээллийг тодорхойлох боломжгүй бөгөөд зөвхөн гадаад програм хангамжийн интерфейсээр хязгаарлагдах болно. Техник хангамжийн анклавуудыг ашиглах нь дээр суурилсан аргуудыг ашиглах өөр хувилбар гэж үзэж болно
Эх сурвалж: opennet.ru