Το Linux Foundation ανακοίνωσε το Confidential Computing Consortium

Darkcrizt

4 λεπτά

Το Linux Foundation ανακοίνωσε την ίδρυση του Εμπιστευτική κοινοπραξία υπολογιστών, στόχος του οποίου είναι η ανάπτυξη τεχνολογιών και ανοικτών προτύπων που σχετίζονται με την ασφαλή επεξεργασία δεδομένων στη μνήμη και τον εμπιστευτικό υπολογιστή.

Εταιρείες όπως οι Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent και Microsoft έχουν ήδη συμμετάσχει στο έργο set, το οποίο προορίζεται να αναπτύξει από κοινού τεχνολογίες για την απομόνωση δεδομένων στη μνήμη κατά τον υπολογισμό σε ουδέτερη τοποθεσία. Ο απώτερος στόχος είναι η παροχή κεφαλαίων για τη διατήρηση ολόκληρου του κύκλου επεξεργασίας δεδομένων σε κρυπτογραφημένη μορφή, χωρίς εύρεση πληροφοριών σε ανοιχτή μορφή σε ορισμένα στάδια.

Τα συμφέροντα της κοινοπραξίας περιλαμβάνουν κυρίως τεχνολογίες που σχετίζονται με τη χρήση κρυπτογραφημένων δεδομένων στη διαδικασία υπολογισμού, δηλαδή, η χρήση απομονωμένων θύλακες, πρωτόκολλα για πολυμερή υπολογισμό, χειρισμός κρυπτογραφημένων δεδομένων στη μνήμη και πλήρη απομόνωση δεδομένων στη μνήμη (για παράδειγμα, για την αποτροπή της πρόσβασης του διαχειριστή συστημάτων κεντρικού υπολογιστή σε δεδομένα μνήμης από συστήματα επισκεπτών).

Τα ακόλουθα έργα έχουν υποβληθεί για ανεξάρτητη ανάπτυξη ως μέρος του Confidential Computing Consortium:

  • Η Intel ανέλαβε την πρωτοβουλία να συνεχίσει τη συνεργατική ανάπτυξη της προηγουμένως ανοιγμένα εξαρτήματα για χρήση τεχνολογίας SGX (Επεκτάσεις προστασίας λογισμικού) σε Linux, συμπεριλαμβανομένου ενός SDK με ένα σύνολο εργαλείων και βιβλιοθηκών.

    Το SGX προτείνει τη χρήση ενός ειδικού σετ εντολών επεξεργαστή για την εκχώρηση κλειστών περιοχών μνήμης που καθορίζονται από τον χρήστη σε εφαρμογές επιπέδου χρήστη των οποίων το περιεχόμενο είναι κρυπτογραφημένο και δεν μπορεί να διαβαστεί και να τροποποιηθεί ακόμη και από τον πυρήνα και τον κώδικα που εκτελείται στις λειτουργίες. ring0, SMM και VMM.

  • Η Microsoft παρουσίασε το πλαίσιο Open Enclav, ότι επιτρέπει τη δημιουργία εφαρμογών για διάφορες αρχιτεκτονικές TEE (Trusted Execution Environment) χρησιμοποιώντας ένα μόνο API και μια αφηρημένη αναπαράσταση του θύλακα. Μια εφαρμογή που εκπονήθηκε με χρήση του Open Enclav μπορεί να εκτελεστεί σε συστήματα με πολλαπλές εφαρμογές enclave. Από το TEE, προς το παρόν υποστηρίζεται μόνο Intel SGX.
    Ο κώδικας αναπτύσσεται για την υποστήριξη του ARM TrustZone. Η υποστήριξη για Keystone, AMD PSP (Platform Security Processor) και AMD SEV (Secure Encryption Virtualization) δεν αναφέρεται.
  • Η Red Hat έχει παραδώσει το έργο Enarx, το οποίο παρέχει ένα επίπεδο αφαίρεσης για τη δημιουργία καθολικών εφαρμογών για εκτέλεση σε θύλακες που υποστηρίζουν πολλαπλά περιβάλλοντα TEE, είναι ανεξάρτητοι από τις αρχιτεκτονικές υλικού και επιτρέπουν τη χρήση πολλαπλών γλωσσών προγραμματισμού (χρησιμοποιώντας χρόνο εκτέλεσης που βασίζεται στο WebAssembly). Το έργο υποστηρίζει τις τεχνολογίες AMD SEV και Intel SGX.

Από τα παρόμοια έργα που παραβλέπονται, μπορεί να παρατηρηθεί το πλαίσιο Asylo, που αναπτύχθηκε κυρίως από μηχανικούς της Google, αλλά δεν έχει την επίσημη έγκριση της Google.

Το πλαίσιο διευκολύνει την προσαρμογή εφαρμογών για να μετακινήσετε ορισμένες από τις λειτουργίες που απαιτούν μεγαλύτερη προστασία στο πλάι του προστατευμένου θύλακα. Από τους μηχανισμούς απομόνωσης υλικού στο Asylo, υποστηρίζεται μόνο η Intel SGX, αλλά είναι επίσης διαθέσιμος ένας μηχανισμός γραφείων βασισμένος σε εικονικοποίηση λογισμικού.

 Το TEE (Trusted Execution Environment) υπονοεί ότι ο επεξεργαστής παρέχει μια ειδική απομονωμένη περιοχή, η οποία του επιτρέπει να συμμετέχει στη λειτουργικότητα των εφαρμογών και του λειτουργικού συστήματος σε ξεχωριστό περιβάλλον, τα περιεχόμενα της μνήμης και τον εκτελέσιμο κώδικα στον οποίο δεν είναι Μπορείτε να έχετε πρόσβαση από τον κεντρικό υπολογιστή, ανεξάρτητα από το επίπεδο των διαθέσιμων προνομίων

Για την εφαρμογή του, διάφοροι αλγόριθμοι κρυπτογράφησης, λειτουργίες για την επεξεργασία ιδιωτικών κλειδιών και κωδικών πρόσβασης, διαδικασίες ελέγχου ταυτότητας και ένας κωδικός για την εργασία με ευαίσθητα δεδομένα μπορούν να μετακινηθούν στον εγκλωβισμό.

Σε περίπτωση συμβιβασμού συστήματος κεντρικού υπολογιστή, ο εισβολέας δεν θα είναι σε θέση να προσδιορίσει τις πληροφορίες που είναι αποθηκευμένες στον θύλακα και θα περιορίζεται μόνο από την εξωτερική διεπαφή του προγράμματος.

Η χρήση θύλακα υλικού μπορεί να θεωρηθεί ως εναλλακτική λύση για τη χρήση μεθόδων που βασίζονται σε ομομορφική κρυπτογράφηση ή εμπιστευτικών πρωτοκόλλων υπολογισμού για την προστασία των υπολογισμών Σε αντίθεση με αυτές τις τεχνολογίες, ο θύλακας δεν έχει σχεδόν καμία επίπτωση στην απόδοση υπολογισμών με ευαίσθητα δεδομένα και απλοποιεί σημαντικά την ανάπτυξη.

πηγή: https://www.linuxfoundation.org


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.