Linux Foundation annoncerede Confidential Computing Consortium

Linux Foundation har annonceret oprettelsen af Fortroligt computerkonsortium, hvis mål er at udvikle teknologier og åbne standarder relateret til sikker behandling af data i hukommelse og fortrolig computing.

Virksomheder som Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent og Microsoft har allerede tilsluttet sig projektet sæt, som er beregnet til at udvikle teknologier til at isolere data i hukommelsen under beregning på et neutralt sted. Det ultimative mål er at give midler til at opretholde hele databehandlingscyklussen i krypteret form uden at finde information i åben form på bestemte stadier.

interesser af konsortiet omfatter hovedsagelig teknologier relateret til brugen af ​​krypterede data i beregningsprocessen, nemlig brugen af ​​isolerede enklaver, protokoller til multilateral databehandling, manipulation af krypterede data i hukommelsen og fuldstændig isolering af data i hukommelsen (for eksempel for at forhindre værtssystemadministratoradgang til hukommelsesdata fra gæstesystemer).

Følgende projekter er indsendt til uafhængig udvikling som en del af Confidential Computing Consortium:

  • Intel tog initiativ til at fortsætte den fælles udvikling af tidligere åbnede komponenter til brug af teknologi SGX (Udvidelser til softwarebeskyttelse) på Linux, inklusive en SDK med et sæt værktøjer og biblioteker.

    SGX foreslår brugen af ​​et specielt processorinstruktions sæt til at allokere lukkede brugerdefinerede hukommelsesområder til applikationer på brugerniveau, hvis indhold er krypteret og ikke kan læses og ændres, selv ikke af kernen og koden, der udføres i tilstande. Ring0, SMM og VMM.

  • Microsoft introducerede Open Enclav-rammen, at tillader oprettelse af applikationer til forskellige arkitekturer TEE (Trusted Execution Environment) ved hjælp af en enkelt API og en abstrakt gengivelse af enklave. En applikation udarbejdet ved hjælp af Open Enclav kan køre på systemer med flere enklaveimplementeringer. Fra TEE understøttes i øjeblikket kun Intel SGX.
    Koden udvikles til at understøtte ARM TrustZone. Support til Keystone, AMD PSP (Platform Security Processor) og AMD SEV (Secure Encryption Virtualization) rapporteres ikke.
  • Red Hat har leveret Enarx-projektet, som giver et abstraktionslag til oprettelse af universelle applikationer til kørsel i enklaver, der understøtter flere TEE-miljøer, er uafhængige af hardwarearkitekturer og tillader brug af flere programmeringssprog (ved hjælp af WebAssembly-baseret runtime). Projektet understøtter i øjeblikket AMD SEV og Intel SGX-teknologier.

Af de lignende projekter, der overses, kan det observeres Asylo-rammen, primært udviklet af Google-ingeniører, men det har ikke den officielle godkendelse fra Google.

Rammen gør det let at tilpasse applikationer til at flytte noget af den funktionalitet, der kræver øget beskyttelse til siden af ​​den beskyttede enklave. Af hardwareisoleringsmekanismerne i Asylo understøttes kun Intel SGX, men en virtualiseringsbaseret softwarebaseret kabinetmekanisme er også tilgængelig.

 TEE (Trusted Execution Environment) indebærer, at processoren tilvejebringer et specielt isoleret område, der gør det muligt at tage del af funktionaliteten i applikationerne og operativsystemet i et separat miljø, indholdet af hukommelsen og den eksekverbare kode, hvor den ikke er kan tilgås fra værten, uanset niveauet af privilegier, der er tilgængelige.

Til implementeringen kan forskellige krypteringsalgoritmer, funktioner til behandling af private nøgler og adgangskoder, godkendelsesprocedurer og en kode til at arbejde med følsomme data flyttes til enklave.

I tilfælde af kompromis med værtssystemet kan angriberen ikke bestemme de oplysninger, der er gemt i enklave og det begrænses kun af programmets eksterne grænseflade.

Brug af hardware-enklaver kan betragtes som et alternativ til at bruge homomorfe krypteringsbaserede metoder eller fortrolige beregningsprotokoller for at beskytte beregningerne, men I modsætning til disse teknologier har enklave praktisk talt ingen præstationspåvirkning beregninger med følsomme data og forenkler udviklingen i høj grad.

kilde: https://www.linuxfoundation.org


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.