Linux Vakfı duyurdu kurulması Gizli Bilişim Konsorsiyumu, Amacı bellekteki verilerin güvenli bir şekilde işlenmesi ve gizli bilgi işlemle ilgili teknolojiler ve açık standartlar geliştirmek.
Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent ve Microsoft gibi şirketler projeye çoktan katıldı. Nötr bir yerde hesaplama sırasında bellekteki verileri izole etmek için teknolojileri birlikte geliştirmeyi amaçlayan set. Nihai amaç, tüm veri işleme döngüsünü şifreli biçimde, belirli aşamalarda açık biçimde bilgi bulmadan sürdürmek için fon sağlamaktır.
İlgi Alanları konsorsiyumun temel olarak şifrelenmiş verilerin kullanımıyla ilgili teknolojileri içerir hesaplama sürecinde, yani izole edilmiş enklavların kullanımı, çok taraflı hesaplama için protokoller, bellekteki şifreli verilerin manipülasyonu ve bellekteki verilerin tam izolasyonu (örneğin, ana bilgisayar sistem yöneticisinin konuk sistemlerden bellek içi verilere erişimini önlemek için).
Aşağıdaki projeler gönderildi Confidential Computing Consortium'un bir parçası olarak bağımsız geliştirme için:
- Intel, işbirliğine dayalı geliştirmeye devam etmek için inisiyatif aldı teknolojiyi kullanmak için önceden açılmış bileşenler SGX (Yazılım koruma uzantıları) Linux'ta, bir dizi araç ve kitaplık içeren bir SDK dahil.
SGX, kapalı kullanıcı tanımlı bellek alanlarını, içeriği şifrelenmiş ve ring0, SMM ve VMM modlarında yürütülen çekirdek ve kod tarafından bile okunamayan ve değiştirilemeyen kullanıcı düzeyindeki uygulamalara tahsis etmek için özel bir işlemci komut setinin kullanılmasını önerir.
- Microsoft, Open Enclav çerçevesini tanıttı, o çeşitli mimariler için uygulamalar oluşturmaya izin verir TEE (Trusted Execution Environment), tek bir API ve enklavın soyut bir temsilini kullanır. Open Enclav kullanılarak hazırlanan bir uygulama, çoklu enclave uygulamaları olan sistemlerde çalışabilir. TEE'den şu anda yalnızca Intel SGX desteklenmektedir.
Kod, ARM TrustZone'u desteklemek için geliştirilmektedir. Keystone, AMD PSP (Platform Security Processor) ve AMD SEV (Secure Encryption Virtualization) desteği bildirilmemiştir. - Red Hat, Enarx projesini teslim etti, Donanım mimarilerinden bağımsız olan ve birden çok programlama dilinin kullanımına izin veren (WebAssembly tabanlı çalışma zamanı kullanarak) birden çok TEE ortamını destekleyen enklavlarda çalışmak üzere evrensel uygulamalar oluşturmak için bir soyutlama katmanı sağlar. Proje şu anda AMD SEV ve Intel SGX teknolojilerini desteklemektedir.
Gözden kaçan benzer projelerden gözlenebilir öncelikle Google mühendisleri tarafından geliştirilen Asylo çerçevesi, ancak bu, Google'ın resmi onayına sahip değildir.
Çerçeve, uygulamaları daha fazla koruma gerektiren işlevselliklerin bir kısmını korumalı mahallin yanına taşımak için uyarlamayı kolaylaştırır. Asylo'daki donanım izolasyon mekanizmalarından yalnızca Intel SGX desteklenmektedir, ancak sanallaştırma tabanlı yazılım tabanlı bir kabin mekanizması da mevcuttur.
Uygulanması için, çeşitli şifreleme algoritmaları, özel anahtarları ve şifreleri işleme işlevleri, kimlik doğrulama prosedürleri ve hassas verilerle çalışmak için bir kod enklava taşınabilir.
Bir ana bilgisayar sisteminin tehlikeye atılması durumunda, saldırgan enklavda depolanan bilgileri belirleyemez ve yalnızca programın harici arayüzü ile sınırlandırılacaktır.
Donanım mahfazalarının kullanımı, hesaplamaları korumak için homomorfik şifreleme tabanlı yöntemler veya gizli hesaplama protokolleri kullanmaya bir alternatif olarak düşünülebilir, ancak Bu teknolojilerin aksine, enklavın neredeyse hiçbir performans etkisi yoktur Hassas verilerle hesaplamalar yapar ve geliştirmeyi büyük ölçüde kolaylaştırır.
kaynak: https://www.linuxfoundation.org