Intel SGX
O que é Intel SGX?
Intel SGXIntel Software Guard Extensions, conjunto de instrucoes da CPU que cria enclaves de memoria cifrada para proteger codigo e dados de um SO ou hipervisor comprometido.
Intel SGX (Software Guard Extensions) e um ambiente de execucao confiavel introduzido com Skylake (2015) que permite as aplicacoes reservar uma regiao de memoria cifrada chamada enclave. O codigo e os dados dentro do enclave sao protegidos por um motor de cifragem de memoria integrado ao silicio, isolados do SO, hipervisor e outras aplicacoes, e podem ser atestados remotamente via EPID ou DCAP. SGX foi alvo de varios ataques de canal lateral e de execucao transitoria - Foreshadow, Plundervolt, AEPIC, SGAxe - mitigados por microcodigo. A Intel deprecia o SGX em CPUs Core de consumo a partir da 11.a geracao, mas mantem-no nos Xeon Scalable focados em confidential computing, onde sustenta as VMs Azure DCsv3 e o Fortanix DSM.
● Exemplos
- 01
O servico Secure Value Recovery do Signal corre em enclaves SGX.
- 02
A serie Azure DCsv3 expoe EPC SGX aos inquilinos.
● Perguntas frequentes
O que é Intel SGX?
Intel Software Guard Extensions, conjunto de instrucoes da CPU que cria enclaves de memoria cifrada para proteger codigo e dados de um SO ou hipervisor comprometido. Pertence à categoria Criptografia da cibersegurança.
O que significa Intel SGX?
Intel Software Guard Extensions, conjunto de instrucoes da CPU que cria enclaves de memoria cifrada para proteger codigo e dados de um SO ou hipervisor comprometido.
Como funciona Intel SGX?
Intel SGX (Software Guard Extensions) e um ambiente de execucao confiavel introduzido com Skylake (2015) que permite as aplicacoes reservar uma regiao de memoria cifrada chamada enclave. O codigo e os dados dentro do enclave sao protegidos por um motor de cifragem de memoria integrado ao silicio, isolados do SO, hipervisor e outras aplicacoes, e podem ser atestados remotamente via EPID ou DCAP. SGX foi alvo de varios ataques de canal lateral e de execucao transitoria - Foreshadow, Plundervolt, AEPIC, SGAxe - mitigados por microcodigo. A Intel deprecia o SGX em CPUs Core de consumo a partir da 11.a geracao, mas mantem-no nos Xeon Scalable focados em confidential computing, onde sustenta as VMs Azure DCsv3 e o Fortanix DSM.
Como se defender contra Intel SGX?
As defesas contra Intel SGX costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Intel SGX?
Nomes alternativos comuns: SGX, Software Guard Extensions.
● Termos relacionados
- cloud-security№ 1177
Ambiente de Execução Confiável (TEE)
Contexto de execução seguro e isolado dentro do processador onde código e dados são protegidos em confidencialidade e integridade, mesmo face ao SO host e ao hipervisor.
- cryptography№ 044
AMD SEV / SEV-SNP
Tecnologia AMD EPYC que cifra e protege a integridade da memoria de cada maquina virtual, isolando os convidados de um hipervisor malicioso ou comprometido.
- cryptography№ 060
ARM TrustZone
Extensao de seguranca em hardware das CPUs ARM que divide o SoC em Mundo Seguro e Mundo Normal, oferecendo um TEE para chaves, DRM e dados biometricos.
- cloud-security№ 208
Computação confidencial
Proteger os dados durante o processamento, executando as cargas dentro de Ambientes de Execução Confiáveis baseados em hardware, isolando-as do host e do operador cloud.
- cryptography№ 460
Atestacao em hardware
Protocolo criptografico em que um dispositivo prova a sua identidade e medicoes de software a um verificador remoto com uma chave ancorada em hardware resistente a violacao.
- vulnerabilities№ 1038
Ataque de canal lateral
Ataque que recupera segredos observando características físicas ou de implementação — tempo, consumo, emissões eletromagnéticas, caches, sinais acústicos — em vez de falhas lógicas.