Intel SGX
Was ist Intel SGX?
Intel SGXIntel Software Guard Extensions, ein CPU-Befehlssatz, der verschluesselte Speicher-Enklaven schafft, um Code und Daten vor kompromittiertem OS oder Hypervisor zu schuetzen.
Intel SGX (Software Guard Extensions) ist eine mit Skylake (2015) eingefuehrte Trusted Execution Environment, die es Anwendungen erlaubt, einen verschluesselten Speicherbereich namens Enklave abzugrenzen. Code und Daten in der Enklave werden von einer in den Chip integrierten Memory Encryption Engine geschuetzt, vom Betriebssystem, Hypervisor und anderen Anwendungen isoliert und koennen ueber EPID oder DCAP aus der Ferne attestiert werden. SGX war Ziel zahlreicher Seitenkanal- und Transient-Execution-Angriffe - Foreshadow, Plundervolt, AEPIC und SGAxe - die mit Microcode-Patches gemildert wurden. Intel hat SGX in Consumer-Core-CPUs ab der 11. Generation abgekuendigt, unterstuetzt es aber weiterhin in Xeon-Scalable-Prozessoren fuer Confidential Computing, etwa fuer Azure-DCsv3-VMs und Fortanix DSM.
● Beispiele
- 01
Der Secure-Value-Recovery-Dienst von Signal laeuft in SGX-Enklaven.
- 02
Die Azure-DCsv3-Serie stellt Mietern SGX-EPC zur Verfuegung.
● Häufige Fragen
Was ist Intel SGX?
Intel Software Guard Extensions, ein CPU-Befehlssatz, der verschluesselte Speicher-Enklaven schafft, um Code und Daten vor kompromittiertem OS oder Hypervisor zu schuetzen. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet Intel SGX?
Intel Software Guard Extensions, ein CPU-Befehlssatz, der verschluesselte Speicher-Enklaven schafft, um Code und Daten vor kompromittiertem OS oder Hypervisor zu schuetzen.
Wie funktioniert Intel SGX?
Intel SGX (Software Guard Extensions) ist eine mit Skylake (2015) eingefuehrte Trusted Execution Environment, die es Anwendungen erlaubt, einen verschluesselten Speicherbereich namens Enklave abzugrenzen. Code und Daten in der Enklave werden von einer in den Chip integrierten Memory Encryption Engine geschuetzt, vom Betriebssystem, Hypervisor und anderen Anwendungen isoliert und koennen ueber EPID oder DCAP aus der Ferne attestiert werden. SGX war Ziel zahlreicher Seitenkanal- und Transient-Execution-Angriffe - Foreshadow, Plundervolt, AEPIC und SGAxe - die mit Microcode-Patches gemildert wurden. Intel hat SGX in Consumer-Core-CPUs ab der 11. Generation abgekuendigt, unterstuetzt es aber weiterhin in Xeon-Scalable-Prozessoren fuer Confidential Computing, etwa fuer Azure-DCsv3-VMs und Fortanix DSM.
Wie schützt man sich gegen Intel SGX?
Schutzmaßnahmen gegen Intel SGX kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Intel SGX?
Übliche alternative Bezeichnungen: SGX, Software Guard Extensions.
● Verwandte Begriffe
- cloud-security№ 1177
Trusted Execution Environment (TEE)
Sicherer, isolierter Ausführungskontext im Prozessor, in dem Code und Daten in Vertraulichkeit und Integrität geschützt sind — auch vor Host-OS und Hypervisor.
- cryptography№ 044
AMD SEV / SEV-SNP
AMD-EPYC-Technologie, die den Speicher jeder virtuellen Maschine verschluesselt und integritaetsgeschuetzt isoliert - selbst vor einem boesartigen oder kompromittierten Hypervisor.
- cryptography№ 060
ARM TrustZone
Hardware-Sicherheitserweiterung von ARM-CPUs, die das SoC in eine Secure World und eine Normal World aufteilt und ein TEE fuer Schluessel, DRM und Biometrie bereitstellt.
- cloud-security№ 208
Confidential Computing
Schutz von Daten während ihrer Verarbeitung, indem Workloads in hardwarebasierten Trusted Execution Environments laufen, die sie von Host und Cloud-Betreiber isolieren.
- cryptography№ 460
Hardware-Attestation
Kryptografisches Protokoll, mit dem ein Geraet einem entfernten Verifier seine Identitaet und Softwaremessungen ueber einen in manipulationssicherer Hardware verankerten Schluessel nachweist.
- vulnerabilities№ 1038
Seitenkanalangriff
Angriff, der Geheimnisse aus einem System gewinnt, indem er physikalische oder implementierungsbedingte Merkmale beobachtet – Zeit, Strom, elektromagnetische Emissionen, Caches, Akustik – statt logische Fehler auszunutzen.