Intel SGX
¿Qué es Intel SGX?
Intel SGXIntel Software Guard Extensions, conjunto de instrucciones de CPU que crea enclaves de memoria cifrada para proteger codigo y datos frente a un SO o hipervisor comprometido.
Intel SGX (Software Guard Extensions) es un entorno de ejecucion confiable introducido con Skylake (2015) que permite a las aplicaciones reservar una region de memoria cifrada llamada enclave. El codigo y los datos del enclave estan protegidos por un motor de cifrado de memoria integrado en el silicio, aislados del SO, del hipervisor y del resto de aplicaciones, y pueden atestiguarse remotamente con EPID o DCAP. SGX ha sido blanco de numerosos ataques de canal lateral y de ejecucion transitoria —Foreshadow, Plundervolt, AEPIC y SGAxe—, lo que motivo mitigaciones de microcodigo. Intel descontinuo SGX en CPUs Core de consumo desde la 11.ª generacion, pero lo mantiene en Xeon Scalable orientados a computacion confidencial, donde sostiene maquinas Azure DCsv3 y Fortanix DSM.
● Ejemplos
- 01
El servicio Secure Value Recovery de Signal se ejecuta en enclaves SGX.
- 02
La serie Azure DCsv3 expone EPC SGX a los inquilinos.
● Preguntas frecuentes
¿Qué es Intel SGX?
Intel Software Guard Extensions, conjunto de instrucciones de CPU que crea enclaves de memoria cifrada para proteger codigo y datos frente a un SO o hipervisor comprometido. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa Intel SGX?
Intel Software Guard Extensions, conjunto de instrucciones de CPU que crea enclaves de memoria cifrada para proteger codigo y datos frente a un SO o hipervisor comprometido.
¿Cómo funciona Intel SGX?
Intel SGX (Software Guard Extensions) es un entorno de ejecucion confiable introducido con Skylake (2015) que permite a las aplicaciones reservar una region de memoria cifrada llamada enclave. El codigo y los datos del enclave estan protegidos por un motor de cifrado de memoria integrado en el silicio, aislados del SO, del hipervisor y del resto de aplicaciones, y pueden atestiguarse remotamente con EPID o DCAP. SGX ha sido blanco de numerosos ataques de canal lateral y de ejecucion transitoria —Foreshadow, Plundervolt, AEPIC y SGAxe—, lo que motivo mitigaciones de microcodigo. Intel descontinuo SGX en CPUs Core de consumo desde la 11.ª generacion, pero lo mantiene en Xeon Scalable orientados a computacion confidencial, donde sostiene maquinas Azure DCsv3 y Fortanix DSM.
¿Cómo defenderse de Intel SGX?
Las defensas contra Intel SGX combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Intel SGX?
Nombres alternativos comunes: SGX, Software Guard Extensions.
● Términos relacionados
- cloud-security№ 1177
Entorno de Ejecución Confiable (TEE)
Contexto de ejecución seguro y aislado dentro del procesador donde el código y los datos están protegidos en confidencialidad e integridad, incluso frente al SO y al hipervisor.
- cryptography№ 044
AMD SEV / SEV-SNP
Tecnologia AMD EPYC que cifra y protege la integridad de la memoria de cada maquina virtual, aislando a los huespedes de un hipervisor malicioso o comprometido.
- cryptography№ 060
ARM TrustZone
Extension de seguridad hardware en CPUs ARM que parte el SoC en Mundo Seguro y Mundo Normal, ofreciendo un TEE para claves, DRM y datos biometricos.
- cloud-security№ 208
Computación confidencial
Proteger los datos mientras se procesan ejecutando las cargas dentro de Entornos de Ejecución Confiables por hardware que las aíslan del host y del operador cloud.
- cryptography№ 460
Atestacion hardware
Protocolo criptografico por el que un dispositivo demuestra su identidad y mediciones de software a un verificador remoto con una clave anclada en hardware resistente.
- vulnerabilities№ 1038
Ataque de canal lateral
Ataque que recupera secretos observando características físicas o de implementación —tiempo, consumo, emisiones electromagnéticas, cachés, señales acústicas— en lugar de fallos lógicos.