Intel SGX
Intel SGX 是什么?
Intel SGXIntel Software Guard Extensions:一组 CPU 指令,可创建加密内存飞地,以保护代码与数据免受被攻陷的操作系统或虚拟化层影响。
Intel SGX(Software Guard Extensions)是 Skylake(2015 年)引入的可信执行环境,允许应用划分出一块被加密的内存区域,称为飞地(enclave)。飞地中的代码与数据由片上内存加密引擎保护,与操作系统、虚拟化层及其他应用隔离,并可通过 EPID 或 DCAP 进行远程证明。SGX 曾遭遇多种旁路与瞬态执行攻击,如 Foreshadow、Plundervolt、AEPIC、SGAxe,Intel 已通过微码进行缓解。Intel 自第 11 代起在消费级 Core 处理器中停用 SGX,但仍在面向机密计算的 Xeon Scalable 中保留并支持,为 Azure DCsv3 虚拟机与 Fortanix DSM 等服务提供底层能力。
● 示例
- 01
Signal 的 Secure Value Recovery 服务运行于 SGX 飞地。
- 02
Azure 机密计算 DCsv3 系列向租户暴露 SGX EPC。
● 常见问题
Intel SGX 是什么?
Intel Software Guard Extensions:一组 CPU 指令,可创建加密内存飞地,以保护代码与数据免受被攻陷的操作系统或虚拟化层影响。 它属于网络安全的 密码学 分类。
Intel SGX 是什么意思?
Intel Software Guard Extensions:一组 CPU 指令,可创建加密内存飞地,以保护代码与数据免受被攻陷的操作系统或虚拟化层影响。
Intel SGX 是如何工作的?
Intel SGX(Software Guard Extensions)是 Skylake(2015 年)引入的可信执行环境,允许应用划分出一块被加密的内存区域,称为飞地(enclave)。飞地中的代码与数据由片上内存加密引擎保护,与操作系统、虚拟化层及其他应用隔离,并可通过 EPID 或 DCAP 进行远程证明。SGX 曾遭遇多种旁路与瞬态执行攻击,如 Foreshadow、Plundervolt、AEPIC、SGAxe,Intel 已通过微码进行缓解。Intel 自第 11 代起在消费级 Core 处理器中停用 SGX,但仍在面向机密计算的 Xeon Scalable 中保留并支持,为 Azure DCsv3 虚拟机与 Fortanix DSM 等服务提供底层能力。
如何防御 Intel SGX?
针对 Intel SGX 的防御通常结合技术控制与运营实践,详见上方完整定义。
Intel SGX 还有哪些其他名称?
常见的别称包括: SGX, Software Guard Extensions。
● 相关术语
- cloud-security№ 1177
可信执行环境 (TEE)
处理器中一种安全、隔离的执行环境,代码和数据在其中获得机密性与完整性保护,主机操作系统和虚拟化层也无法访问。
- cryptography№ 044
AMD SEV / SEV-SNP
AMD EPYC 提供的虚拟机内存加密与完整性保护技术,将客机与恶意或被攻陷的虚拟化层隔离。
- cryptography№ 060
ARM TrustZone
ARM 处理器上的硬件安全扩展,将 SoC 划分为安全世界与普通世界,提供保护密钥、DRM 与生物识别数据的 TEE。
- cloud-security№ 208
机密计算
通过将工作负载运行在基于硬件的可信执行环境中,在数据被处理时对其加以保护,使其与宿主机和云运维人员相互隔离。
- cryptography№ 460
硬件证明
一种加密协议:设备使用根植于抗篡改硬件的密钥,向远程验证方证明自身身份与软件度量值。
- vulnerabilities№ 1038
侧信道攻击
通过观察系统的物理或实现特征(时序、功耗、电磁辐射、缓存、声学信号等)而非逻辑漏洞,来恢复机密信息的攻击。