Linux fondi konsorsium tashkil etish to‘g‘risida , xavfsiz xotirada ishlov berish va maxfiy hisoblash bilan bog'liq ochiq texnologiyalar va standartlarni ishlab chiqishga qaratilgan. Qo‘shma loyihaga allaqachon Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent va Microsoft kabi kompaniyalar qo‘shilgan bo‘lib, ular neytral platformada hisoblash jarayonida xotiradagi ma’lumotlarni izolyatsiyalash texnologiyalarini ishlab chiqish niyatida.
Yakuniy maqsad - alohida bosqichlarda ochiq shaklda ma'lumot topmasdan, shifrlangan shaklda ma'lumotlarni qayta ishlashning to'liq tsiklini qo'llab-quvvatlash vositalarini ta'minlash. Konsorsiumning qiziqish doirasi, birinchi navbatda, hisoblash jarayonida shifrlangan ma'lumotlardan foydalanish bilan bog'liq texnologiyalarni o'z ichiga oladi, ya'ni izolyatsiya qilingan anklavlardan, protokollardan foydalanish. , xotirada shifrlangan ma'lumotlarni manipulyatsiya qilish va xotiradagi ma'lumotlarni to'liq izolyatsiya qilish (masalan, xost tizimi administratorining mehmon tizimlari xotirasidagi ma'lumotlarga kirishini oldini olish uchun).
Quyidagi loyihalar Maxfiy hisoblash konsorsiumining bir qismi sifatida mustaqil ishlab chiqish uchun topshirildi:
- Intel doimiy hamkorlikni rivojlantirish uchun topshirildi
texnologiyadan foydalanish uchun komponentlar Linuxda (Software Guard Extensions), shu jumladan asboblar va kutubxonalar to'plamiga ega SDK. SGX foydalanuvchi darajasidagi ilovalarga shaxsiy xotira maydonlarini ajratish uchun maxsus protsessor ko'rsatmalaridan foydalanishni taklif qiladi, ularning mazmuni shifrlangan va hatto ring0, SMM va VMM rejimlarida ishlaydigan yadro va kod tomonidan o'qilishi yoki o'zgartirilishi mumkin emas; - Microsoft ramkani topshirdi , bitta API va mavhum anklav namoyishidan foydalangan holda turli TEE (Ishonchli ijro muhiti) arxitekturalari uchun ilovalar yaratish imkonini beradi. Open Enclav yordamida tayyorlangan dastur turli xil anklav ilovalariga ega tizimlarda ishlashi mumkin. Hozirda TEElardan faqat Intel SGX qo'llab-quvvatlanadi. ARM TrustZone-ni qo'llab-quvvatlash uchun kod ishlab chiqilmoqda. Qo'llab-quvvatlash haqida , AMD PSP (Platforma xavfsizlik protsessori) va AMD SEV (Secure Encryption Virtualization) haqida xabar berilmagan.
- Red Hat loyihani topshirdi , bu apparat arxitekturasidan mustaqil bo'lgan va turli xil dasturlash tillaridan foydalanishga ruxsat beruvchi turli TEE muhitlarini qo'llab-quvvatlaydigan anklavlarda ishlash uchun universal ilovalarni yaratish uchun abstraktsiya qatlamini ta'minlaydi (WebAssembly-ga asoslangan ish vaqti ishlatiladi). Loyiha hozirda AMD SEV va Intel SGX texnologiyalarini qo‘llab-quvvatlaydi.
E'tibordan chetda qolgan shunga o'xshash loyihalar orasida biz ramkani qayd etishimiz mumkin , asosan Google muhandislari tomonidan ishlab chiqilgan, ammo rasman qoʻllab-quvvatlanadigan Google mahsuloti. Ramka himoyalangan anklav tomoniga yuqori himoyani talab qiluvchi ba'zi funksiyalarni ko'chirish uchun ilovalarni osongina moslashtirish imkonini beradi. Asylo-dagi apparatni izolyatsiyalash mexanizmlaridan faqat Intel SGX qo'llab-quvvatlanadi, ammo virtualizatsiyadan foydalanishga asoslangan anklavlarni shakllantirish uchun dasturiy ta'minot mexanizmi ham mavjud.
Eslatib o'tamiz, anklav (, Ishonchli ijro muhiti) protsessor tomonidan ilovalar va operatsion tizim funksionalligining bir qismini alohida muhitga, xotira tarkibi va bajariladigan kodga asosiy muhitdan kirish imkoni bo'lmagan alohida muhitga ko'chirish imkonini beruvchi maxsus ajratilgan maydonni taqdim etishni o'z ichiga oladi. tizim, mavjud imtiyozlar darajasidan qat'i nazar. Ularni bajarish uchun turli xil shifrlash algoritmlarini amalga oshirish, shaxsiy kalitlar va parollarni qayta ishlash funktsiyalari, autentifikatsiya protseduralari va maxfiy ma'lumotlar bilan ishlash kodlari anklavga ko'chirilishi mumkin.
Agar asosiy tizim buzilgan bo'lsa, tajovuzkor anklavda saqlangan ma'lumotlarni aniqlay olmaydi va faqat tashqi dasturiy interfeys bilan cheklanadi. Uskuna anklavlaridan foydalanishni asoslangan usullardan foydalanishga muqobil deb hisoblash mumkin shifrlash yoki , ammo bu texnologiyalardan farqli o'laroq, anklav maxfiy ma'lumotlar bilan hisob-kitoblarni bajarishga deyarli ta'sir qilmaydi va rivojlanishni sezilarli darajada osonlashtiradi.
Manba: opennet.ru