LinuxFoundationが発表しました の設立 コンフィデンシャルコンピューティングコンソーシアム、 その目的は、メモリ内のデータの安全な処理と機密コンピューティングに関連するテクノロジーとオープンスタンダードを開発することです。
アリババ、アーム、バイドゥ、グーグル、IBM、インテル、テンセント、マイクロソフトなどの企業はすでにプロジェクトに参加しています セット。ニュートラルサイトでの計算中にメモリ内のデータを分離する技術を共同開発することを目的としています。 最終的な目標は、特定の段階でオープン形式の情報を見つけることなく、暗号化された形式でデータ処理サイクル全体を維持するための資金を提供することです。
利害関係 コンソーシアムの 主に暗号化されたデータの使用に関連する技術が含まれます 計算プロセス、つまり、分離されたエンクレーブの使用、多国間コンピューティングのプロトコル、メモリ内の暗号化されたデータの操作 メモリ内のデータを完全に分離します (たとえば、ホストシステムの管理者がゲストシステムのメモリ内のデータにアクセスできないようにするため)。
以下のプロジェクトが提出されました 機密コンピューティングコンソーシアムの一部としての独立した開発の場合:
- インテルはイニシアチブを取り、 テクノロジーを使用するために以前に開いたコンポーネント SGX (ソフトウェア保護拡張機能)Linuxの場合、ツールとライブラリのセットを備えたSDKを含みます。
SGXは、特別なプロセッサ命令セットを使用して、閉じたユーザー定義のメモリ領域を、コンテンツが暗号化され、モードで実行されるカーネルやコードによっても読み取りおよび変更できないユーザーレベルのアプリケーションに割り当てることをお勧めします。 ring0、SMMおよびVMM。
- マイクロソフトはOpenEnclavフレームワークを導入しました。 その さまざまなアーキテクチャのアプリケーションを作成できます 単一のAPIとエンクレーブの抽象表現を使用するTEE(信頼できる実行環境)。 Open Enclavを使用して準備されたアプリケーションは、複数のエンクレーブが実装されているシステムで実行できます。 TEEからは、現在IntelSGXのみがサポートされています。
このコードは、ARMTrustZoneをサポートするために開発されています。 Keystone、AMD PSP(プラットフォームセキュリティプロセッサ)、およびAMD SEV(セキュア暗号化仮想化)のサポートは報告されていません。 - Red HatはEnarxプロジェクトを提供し、 これは、複数のTEE環境をサポートし、ハードウェアアーキテクチャに依存せず、複数のプログラミング言語の使用を可能にするエンクレーブで実行するユニバーサルアプリケーションを作成するための抽象化レイヤーを提供します(WebAssemblyベースのランタイムを使用)。 このプロジェクトは現在、AMDSEVおよびIntelSGXテクノロジーをサポートしています。
見落とされている同様のプロジェクトのうち、それは観察することができます 主にGoogleのエンジニアによって開発されたAsyloフレームワーク しかし、それはグーグルの公式の承認を持っていません。
このフレームワークにより、アプリケーションを簡単に適応させて、より強力な保護を必要とする機能の一部を保護されたエンクレーブの側に移動できます。 Asyloのハードウェア分離メカニズムのうち、サポートされているのはIntelSGXのみです。 ただし、仮想化ベースのソフトウェアベースのキャビネットメカニズムも利用できます。
その実装のために、さまざまな暗号化アルゴリズム、秘密鍵とパスワードを処理するための機能、認証手順、および機密データを処理するためのコードをエンクレーブに移動できます。
ホストシステムが侵害された場合、攻撃者はエンクレーブに保存されている情報を特定できなくなります。 そしてそれはプログラムの外部インターフェースによってのみ制限されます。
ハードウェアエンクレーブの使用は、同形暗号化ベースの方法または機密計算プロトコルを使用して計算を保護する代わりと見なすことができますが、 これらのテクノロジーとは異なり、エンクレーブはパフォーマンスに実質的に影響を与えません。 機密データを使用した計算を行い、開発を大幅に簡素化します。
出典 https://www.linuxfoundation.org