Anunciou a Fundación Linux o establecemento de Consorcio informático confidencial, cuxo obxectivo é desenvolver tecnoloxías e estándares abertos relacionados co procesamento seguro de datos en memoria e computación confidencial.
Compañías como Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent e Microsoft xa se uniron ao proxecto set, que está destinado a co-desenvolver tecnoloxías para illar datos na memoria durante o cálculo nun sitio neutral. O obxectivo final é proporcionar fondos para manter todo o ciclo de procesamento de datos en forma cifrada, sen atopar información en forma aberta en determinadas etapas.
Intereses do consorcio inclúen principalmente tecnoloxías relacionadas co uso de datos cifrados no proceso de cálculo, a saber, o uso de enclaves illados, protocolos para computación multilateral, manipulación de datos cifrados na memoria e illamento completo dos datos na memoria (por exemplo, para evitar que o administrador do sistema host acceda aos datos na memoria dos sistemas invitados).
Presentáronse os seguintes proxectos para o desenvolvemento independente como parte do Consorcio de Computación Confidencial:
- Intel tomou a iniciativa de continuar o desenvolvemento colaborativo de compoñentes abertos previamente para usar a tecnoloxía SGX (Extensións de protección de software) en Linux, incluído un SDK cun conxunto de ferramentas e bibliotecas.
SGX suxire o uso dun conxunto de instrucións de procesador especial para asignar áreas de memoria pechadas definidas polo usuario a aplicacións de nivel de usuario cuxo contido está cifrado e non pode ser lido e modificado nin polo núcleo nin polo código executado nos modos. ring0, SMM e VMM.
- Microsoft introduciu o marco Open Enclav, que permite crear aplicacións para varias arquitecturas TEE (Trusted Execution Environment) usando unha única API e unha representación abstracta do enclave. Unha aplicación preparada usando Open Enclav pode funcionar en sistemas con múltiples implementacións de enclave. Desde o TEE, actualmente só se admite Intel SGX.
O código está a ser desenvolvido para soportar ARM TrustZone. Non se informa de compatibilidade con Keystone, AMD PSP (Platform Security Processor) e AMD SEV (Secure Encryption Virtualization). - Red Hat entregou o proxecto Enarx, que proporciona unha capa de abstracción para crear aplicacións universais para executarse en enclaves que admiten múltiples contornos TEE, son independentes das arquitecturas de hardware e permiten o uso de múltiples linguaxes de programación (usando tempo de execución baseado en WebAssembly). Actualmente o proxecto admite tecnoloxías AMD SEV e Intel SGX.
Dos proxectos similares que se pasan por alto, pódese observar o marco Asylo, desenvolvido principalmente por enxeñeiros de Google, pero iso non ten o aval oficial de Google.
O marco facilita a adaptación de aplicacións para mover algunhas das funcionalidades que requiren unha maior protección cara ao lado do enclave protexido. Dos mecanismos de illamento de hardware en Asylo, só se admite Intel SGX, pero tamén está dispoñible un mecanismo baseado en software baseado en virtualización.
Para a súa implementación, pódense mover ao enclave varios algoritmos de cifrado, funcións para procesar claves e contrasinais privados, procedementos de autenticación e un código para traballar con datos sensibles.
En caso de compromiso do sistema anfitrión, o atacante non poderá determinar a información almacenada no enclave e estará limitado só pola interface externa do programa.
O uso de enclaves de hardware pode considerarse como unha alternativa ao uso de métodos baseados en cifrado homomorfo ou protocolos de cálculo confidenciais para protexer os cálculos, pero A diferenza destas tecnoloxías, o enclave non ten practicamente ningún impacto no rendemento de cálculos con datos sensibles e simplifica moito o desenvolvemento.
Fuente: https://www.linuxfoundation.org
Sexa o primeiro en opinar sobre