Intel SGX
Что такое Intel SGX?
Intel SGXIntel Software Guard Extensions — набор команд CPU, создающий зашифрованные анклавы памяти, защищающие код и данные от скомпрометированных ОС или гипервизора.
Intel SGX (Software Guard Extensions) — это среда доверенного исполнения, появившаяся в Skylake (2015) и позволяющая приложениям выделять зашифрованную область памяти, называемую анклавом. Код и данные внутри анклава защищены кристальным движком шифрования памяти, изолированы от ОС, гипервизора и других приложений и могут удалённо аттестоваться через EPID или DCAP. SGX был мишенью многочисленных атак по сторонним каналам и через переходное исполнение — Foreshadow, Plundervolt, AEPIC, SGAxe, — устранявшихся обновлениями микрокода. Intel признала SGX устаревшим в потребительских Core с 11-го поколения, но продолжает поддерживать его в Xeon Scalable для конфиденциальных вычислений; на нём построены ВМ Azure DCsv3 и Fortanix DSM.
● Примеры
- 01
Сервис Secure Value Recovery в Signal работает внутри SGX-анклавов.
- 02
Серия Azure DCsv3 предоставляет арендаторам SGX EPC.
● Частые вопросы
Что такое Intel SGX?
Intel Software Guard Extensions — набор команд CPU, создающий зашифрованные анклавы памяти, защищающие код и данные от скомпрометированных ОС или гипервизора. Относится к категории Криптография в кибербезопасности.
Что означает Intel SGX?
Intel Software Guard Extensions — набор команд CPU, создающий зашифрованные анклавы памяти, защищающие код и данные от скомпрометированных ОС или гипервизора.
Как работает Intel SGX?
Intel SGX (Software Guard Extensions) — это среда доверенного исполнения, появившаяся в Skylake (2015) и позволяющая приложениям выделять зашифрованную область памяти, называемую анклавом. Код и данные внутри анклава защищены кристальным движком шифрования памяти, изолированы от ОС, гипервизора и других приложений и могут удалённо аттестоваться через EPID или DCAP. SGX был мишенью многочисленных атак по сторонним каналам и через переходное исполнение — Foreshadow, Plundervolt, AEPIC, SGAxe, — устранявшихся обновлениями микрокода. Intel признала SGX устаревшим в потребительских Core с 11-го поколения, но продолжает поддерживать его в Xeon Scalable для конфиденциальных вычислений; на нём построены ВМ Azure DCsv3 и Fortanix DSM.
Как защититься от Intel SGX?
Защита от Intel SGX обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Intel SGX?
Распространённые альтернативные названия: SGX, Software Guard Extensions.
● Связанные термины
- cloud-security№ 1177
Доверенная среда исполнения (TEE)
Безопасный изолированный контекст выполнения внутри процессора, где код и данные защищены по конфиденциальности и целостности даже от ОС хоста и гипервизора.
- cryptography№ 044
AMD SEV / SEV-SNP
Технология AMD EPYC, шифрующая и защищающая целостность памяти каждой виртуальной машины и изолирующая гостей от вредоносного или скомпрометированного гипервизора.
- cryptography№ 060
ARM TrustZone
Аппаратное расширение безопасности процессоров ARM, разделяющее SoC на Secure World и Normal World и предоставляющее TEE для ключей, DRM и биометрии.
- cloud-security№ 208
Конфиденциальные вычисления
Защита данных во время обработки за счёт исполнения нагрузок в аппаратных доверенных средах исполнения, изолированных от хоста и оператора облака.
- cryptography№ 460
Аппаратная аттестация
Криптографический протокол, с помощью которого устройство доказывает удалённому верификатору свою идентичность и программные измерения ключом, укоренённым в защищённом железе.
- vulnerabilities№ 1038
Атака по сторонним каналам
Атака, восстанавливающая секреты по наблюдаемым физическим или реализационным характеристикам — времени, мощности, электромагнитному излучению, кэшам, звукам — а не по логическим ошибкам.