Linux Vakfı Konsorsiyum kurulması konusunda , güvenli bellek içi işleme ve gizli bilgi işlemle ilgili açık teknolojiler ve standartlar geliştirmeyi amaçlamaktadır. Ortak projeye, bilgi işlem süreci sırasında verileri bellekte yalıtmaya yönelik teknolojiler geliştirmek üzere tarafsız bir platform üzerinde birlikte çalışmayı amaçlayan Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent ve Microsoft gibi şirketler zaten katıldı.
Nihai amaç, bireysel aşamalarda açık formda bilgi bulmadan, veri işlemenin tüm döngüsünü şifreli biçimde destekleyecek araçları sağlamaktır. Konsorsiyumun ilgi alanı öncelikle bilgi işlem sürecinde şifrelenmiş verilerin kullanımına ilişkin teknolojileri, yani izole edilmiş bölgelerin kullanımını, protokolleri içerir. , bellekteki şifrelenmiş verilerin manipülasyonu ve bellekteki verilerin tamamen yalıtılması (örneğin, ana sistem yöneticisinin konuk sistemlerin belleğindeki verilere erişmesini önlemek için).
Aşağıdaki projeler Gizli Bilgi İşlem Konsorsiyumunun bir parçası olarak bağımsız gelişim için devredilmiştir:
- Intel, sürekli ortak gelişim için devredildi
teknolojiyi kullanmaya yönelik bileşenler (Yazılım Koruma Uzantıları), bir dizi araç ve kitaplık içeren bir SDK dahil olmak üzere Linux'ta. SGX, içerikleri şifrelenmiş olan ve ring0, SMM ve VMM modlarında çalışan çekirdek ve kod tarafından bile okunamayan veya değiştirilemeyen kullanıcı düzeyindeki uygulamalara özel bellek alanları tahsis etmek için bir dizi özel işlemci talimatı kullanılmasını önerir; - Microsoft çerçeveyi devretti Tek bir API ve soyut bölge gösterimi kullanarak çeşitli TEE (Güvenilir Yürütme Ortamı) mimarileri için uygulamalar oluşturmanıza olanak tanır. Open Enclav kullanılarak hazırlanan bir uygulama, farklı enclave uygulamalarına sahip sistemlerde çalışabilmektedir. TEE'lerden yalnızca Intel SGX şu anda desteklenmektedir. ARM TrustZone'u destekleyecek kod geliştirme aşamasındadır. Destek hakkında , AMD PSP (Platform Güvenlik İşlemcisi) ve AMD SEV (Güvenli Şifreleme Sanallaştırması) raporlanmaz.
- Red Hat projeyi devretti Donanım mimarilerinden bağımsız olarak çeşitli TEE ortamlarını destekleyen yerleşimlerde çalışacak evrensel uygulamalar oluşturmak için bir soyutlama katmanı sağlayan ve çeşitli programlama dillerinin kullanımına izin veren bir soyutlama katmanı sağlar (WebAssembly tabanlı çalışma zamanı kullanılır). Proje şu anda AMD SEV ve Intel SGX teknolojilerini desteklemektedir.
Gözden kaçan benzer projeler arasında çerçeveyi not edebiliriz. , esas olarak Google mühendisleri tarafından geliştirilmiştir, ancak resmi olarak desteklenen bir Google ürünüdür. Çerçeve, daha fazla koruma gerektiren bazı işlevleri korunan bir alanın yanına taşıyacak şekilde uygulamaları kolayca uyarlamanıza olanak tanır. Asylo'daki donanım izolasyon mekanizmalarından yalnızca Intel SGX desteklenir, ancak sanallaştırma kullanımına dayalı yerleşim bölgeleri oluşturmaya yönelik bir yazılım mekanizması da mevcuttur.
Bölgeyi hatırlayın (, Güvenilir Yürütme Ortamı), işlemci tarafından, uygulamaların ve işletim sisteminin işlevselliğinin bir kısmını, ana bellekten erişilemeyen bellek içeriklerini ve yürütülebilir kodu ayrı bir ortama taşımanıza olanak tanıyan özel bir yalıtılmış alanın sağlanmasını içerir. mevcut ayrıcalıkların düzeyine bakılmaksızın sistem. Bunların yürütülmesi için, çeşitli şifreleme algoritmalarının uygulamaları, özel anahtarları ve şifreleri işlemeye yönelik işlevler, kimlik doğrulama prosedürleri ve gizli verilerle çalışma kodu, bölgeye taşınabilir.
Ana sistemin güvenliği ihlal edilirse, saldırgan enklavda depolanan bilgileri belirleyemeyecek ve yalnızca harici yazılım arayüzüyle sınırlı kalacaktır. Donanım bölgelerinin kullanımı, dayalı yöntemlerin kullanımına bir alternatif olarak düşünülebilir. şifreleme veya ancak bu teknolojilerin aksine, enclave'in gizli verilerle yapılan hesaplamaların performansı üzerinde neredeyse hiçbir etkisi yoktur ve geliştirmeyi önemli ölçüde basitleştirir.
Kaynak: opennet.ru