리눅스 재단이 발표한 설립 기밀 컴퓨팅 컨소시엄, 그의 목표는 안전한 메모리 내 데이터 처리 및 기밀 컴퓨팅과 관련된 기술 및 개방형 표준을 개발하는 것입니다.
Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent 및 Microsoft와 같은 회사가 이미 프로젝트에 참여했습니다. 중립 사이트에서 계산하는 동안 데이터를 메모리에 격리하는 기술을 공동 개발하려는 공동. 궁극적인 목표는 특정 단계에서 공개된 형태의 정보를 찾지 않고 데이터 처리의 전체 주기를 암호화된 형태로 유지하기 위한 자금을 제공하는 것입니다.
이해 컨소시엄 주로 암호화된 데이터의 사용과 관련된 기술을 포함 계산 프로세스에서, 즉 격리된 엔클레이브의 사용, 다자간 컴퓨팅을 위한 프로토콜, 메모리의 암호화된 데이터 조작 메모리에서 데이터의 완전한 격리 (예를 들어 호스트 시스템 관리자가 게스트 시스템의 메모리에 있는 데이터에 액세스하는 것을 방지하기 위해).
다음과 같은 프로젝트가 제시되었습니다. Confidential Computing Consortium의 일부로 독립적인 개발:
- 인텔은 기술을 사용하기 위해 이전에 공개한 구성 요소 SGX (소프트웨어 보호 확장) 리눅스에서, 도구 및 라이브러리 세트가 포함된 SDK를 포함합니다.
SGX는 폐쇄된 사용자 정의 메모리 영역을 사용자 수준 응용 프로그램에 할당하기 위해 특수 프로세서 명령 세트를 사용할 것을 제안합니다. 사용자 수준 응용 프로그램의 콘텐츠는 암호화되어 있고 커널과 모드에서 실행되는 코드에서도 읽고 수정할 수 없습니다. ring0, SMM 및 VMM.
- Microsoft는 Open Enclav 프레임워크를 도입했습니다. 그 다양한 아키텍처에 대한 애플리케이션을 만들 수 있습니다. 단일 API 및 enclave의 추상 표현을 사용하는 TEE(Trusted Execution Environment). Open Enclave를 사용하여 준비된 애플리케이션은 여러 enclave 구현이 있는 시스템에서 실행할 수 있습니다. TEE에서는 현재 Intel SGX만 지원됩니다.
ARM TrustZone을 지원하기 위한 코드가 개발 중입니다. Keystone, AMD PSP(플랫폼 보안 프로세서) 및 AMD SEV(보안 암호화 가상화)에 대한 지원은 보고되지 않았습니다. - Red Hat은 Enarx 프로젝트를 제공했습니다. 이는 여러 TEE 환경을 지원하고 하드웨어 아키텍처와 독립적이며 여러 프로그래밍 언어(WebAssembly 기반 런타임 사용)를 사용할 수 있는 엔클레이브에서 실행되는 범용 애플리케이션을 구축하기 위한 추상화 계층을 제공합니다. 이 프로젝트는 현재 AMD SEV 및 Intel SGX 기술을 지원합니다.
간과되는 유사한 프로젝트 중에서 볼 수 있습니다. 주로 Google 엔지니어가 개발한 Asylo 프레임워크, 그러나 그것은 Google의 공식 지원이 없습니다.
프레임워크를 사용하면 애플리케이션이 더 많은 보호가 필요한 기능 중 일부를 보호된 엔클레이브 측면으로 쉽게 이동하도록 적응할 수 있습니다. Asylo의 하드웨어 격리 메커니즘 중 Intel SGX만 지원되며, 그러나 가상화 기반 소프트웨어 기반 캐비닛 메커니즘도 사용할 수 있습니다.
구현을 위해 다양한 암호화 알고리즘, 개인 키 및 암호 처리 기능, 인증 절차 및 민감한 데이터 작업을 위한 코드를 enclave로 이동할 수 있습니다.
호스트 시스템이 손상된 경우 공격자는 엔클레이브에 저장된 정보를 확인할 수 없습니다. 프로그램의 외부 인터페이스에 의해서만 제한됩니다.
하드웨어 엔클레이브의 사용은 계산을 보호하기 위해 동형 암호화 또는 기밀 계산 프로토콜에 기반한 방법의 사용에 대한 대안으로 간주될 수 있지만 이러한 기술과 달리 enclave는 성능에 거의 영향을 미치지 않습니다. 민감한 데이터로 계산하고 개발을 크게 단순화합니다.
출처 : https://www.linuxfoundation.org