Fundacija Linux o ustanovitvi konzorcija , namenjen razvoju odprtih tehnologij in standardov, povezanih z varno obdelavo v pomnilniku in zaupnim računalništvom. Skupnemu projektu so se že pridružila podjetja, kot so Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent in Microsoft, ki nameravajo skupaj na nevtralni platformi razvijati tehnologije za izolacijo podatkov v pomnilniku med računalniškim procesom.
Končni cilj je zagotoviti sredstva za podporo celotnemu ciklu obdelave podatkov v šifrirani obliki, brez iskanja informacij v odprti obliki na posameznih stopnjah. Področje interesa konzorcija zajema predvsem tehnologije, povezane z uporabo šifriranih podatkov v računalniškem procesu, in sicer uporabo izoliranih enklav, protokolov za , manipulacija šifriranih podatkov v pomnilniku in popolna izolacija podatkov v pomnilniku (na primer, da se skrbniku gostiteljskega sistema prepreči dostop do podatkov v pomnilniku gostujočih sistemov).
Naslednji projekti so bili preneseni v neodvisen razvoj v okviru Confidential Computing Consortium:
- Intel predal za nadaljnji skupni razvoj
komponente za uporabo tehnologije (Software Guard Extensions) v sistemu Linux, vključno s SDK z naborom orodij in knjižnic. SGX predlaga uporabo nabora posebnih ukazov procesorja za dodelitev zasebnih pomnilniških območij aplikacijam na ravni uporabnika, katerih vsebina je šifrirana in je ni mogoče prebrati ali spremeniti niti z jedrom in kodo, ki se izvajata v načinih ring0, SMM in VMM; - Microsoft je predal okvir , ki vam omogoča ustvarjanje aplikacij za različne arhitekture TEE (Trusted Execution Environment) z uporabo enega samega API-ja in abstraktne predstavitve enklave. Aplikacija, pripravljena z uporabo Open Enclav, se lahko izvaja v sistemih z različnimi implementacijami enklav. Od TEE je trenutno podprt samo Intel SGX. Koda za podporo ARM TrustZone je v razvoju. O podpori , AMD PSP (Platform Security Processor) in AMD SEV (Secure Encryption Virtualization) niso prijavljeni.
- Red Hat je predal projekt , ki zagotavlja plast abstrakcije za ustvarjanje univerzalnih aplikacij za izvajanje v enklavah, ki podpirajo različna okolja TEE, neodvisno od arhitektur strojne opreme in omogočajo uporabo različnih programskih jezikov (uporablja se izvajalno okolje, ki temelji na WebAssembly). Projekt trenutno podpira tehnologiji AMD SEV in Intel SGX.
Med spregledanimi podobnimi projekti lahko omenimo okvir , ki ga razvijajo predvsem Googlovi inženirji, vendar uradno podprt Googlov izdelek. Ogrodje vam omogoča preprosto prilagoditev aplikacij za premik nekaterih funkcij, ki zahtevajo povečano zaščito, na stran zaščitene enklave. Od mehanizmov strojne izolacije v Asylu je podprt le Intel SGX, na voljo pa je tudi programski mehanizem za oblikovanje enklav, ki temelji na uporabi virtualizacije.
Spomnimo se, da je enklava (, Trusted Execution Environment) vključuje zagotavljanje posebnega izoliranega območja s strani procesorja, ki vam omogoča, da del funkcionalnosti aplikacij in operacijskega sistema premaknete v ločeno okolje, vsebina pomnilnika in izvršljiva koda v katerem sta nedostopna iz glavnega okolja. sistem, ne glede na raven razpoložljivih privilegijev. Za njihovo izvedbo je mogoče v enklavo premakniti implementacije različnih šifrirnih algoritmov, funkcije za obdelavo zasebnih ključev in gesel, postopke avtentikacije in kodo za delo z zaupnimi podatki.
Če je glavni sistem ogrožen, napadalec ne bo mogel določiti informacij, shranjenih v enklavi, in bo omejen le na zunanji programski vmesnik. Uporaba enklav strojne opreme se lahko obravnava kot alternativa uporabi metod, ki temeljijo na šifriranje oz , vendar za razliko od teh tehnologij enklava praktično nima vpliva na uspešnost izračunov z zaupnimi podatki in bistveno poenostavi razvoj.
Vir: opennet.ru