Omówienie rozszerzeń Intel® Software Guard Extensions (Intel® SGX)

Obecnie rozwiązania bezpieczeństwa zapewniają szyfrowanie danych w zakresie pamięci masowej i podczas przesyłu w sieci, jednak dane ciągle pozostają podatne na ataki, gdy są aktywnie przetwarzane w pamięci. Na przykład, baza Common Vulnerabilities and Exposures, (CVE, baza powszechnych zagrożeń i ryzyk)1, zawiera obecnie ponad 11 000 możliwych do wykorzystania potencjalnych zagrożeń i na 34% z nich ciągle nie ma środków zaradczych. Poprzez ominięcie systemu operacyjnego (OS) systemu i warstw oprogramowania maszyny wirtualnej, rozszerzenia Intel® SGX, zapewniają znaczną dodatkową ochronę przed wieloma z tych ataków i dodatkowe zabezpieczenia danych oraz odpowiadają na potrzebę bardziej poufnego obliczania. Zapewniają rozwiązanie zabezpieczenia sprzętowego, które wykorzystuje szyfrowanie do zmian w zakresie dostępu do pamięci, tworząc enklawy pamięci chronionej do uruchamiania aplikacji i jej danych. Rozwiązanie Intel® SGX umożliwia również wymuszenie weryfikacji aplikacji i sprzętu, na którym działa.

Czym jest atak kanałem bocznym i czy należy się nim martwić?

Ataki kanałem bocznym oparte są na wykorzystaniu informacji, takich jak stany zasilania, emisje i czasy oczekiwania bezpośrednio z procesora, aby pośrednio wywnioskować wzorce wykorzystania danych. Ataki te są bardzo złożone i trudne do wykonania, potencjalnie wymagając naruszeń centrum danych firmy na wielu poziomach: fizycznym, sieciowym i systemowym.

Hakerzy zazwyczaj podążają ścieżką najmniejszego oporu. Obecnie oznacza to zazwyczaj atakowanie oprogramowania. Chociaż rozszerzenia Intel® SGX nie są zaprojektowane specjalnie w celu ochrony przed atakami kanałem bocznym, jednak zapewniają rodzaj izolacji kodu i danych, która znacząco podnosi poprzeczkę atakującym. Firma Intel stale i uważnie współpracuje z klientami i społecznością badawczą nad identyfikacją potencjalnych zagrożeń kanałem bocznym oraz zmniejszeniem ryzyka ich wystapienia. Pomimo istnienia zagrożeń atakami kanałem bocznym, rozwiązanie Intel® SGX pozostaje cennym narzędziem, ponieważ oferuje wydajną dodatkową warstwę ochrony.

Czy warto zaufać rozszerzeniom Intel® SGX?

Rozszerzenia Intel® SGX to najlepiej przetestowane, zbadane i wdrożone zabezpieczone sprzętowo zaufane środowisko wykonawcze (TEE) centrum danych, o najmniejszej dostępnej powierzchni ataku w systemie. Rozwiązanie Intel® SGX zapewnia znaczną przewagę strategiczną w przypadku ścisłych wymogów dotyczących prywatności danych i bezpieczeństwa.

Dobrą wiadomością dla klientów chronionych rozszerzeniami Intel® SGX jest fakt, że oprócz obrony przeciwko niezliczonym popularnym rodzajom ataków opartych na oprogramowaniu, mechanizmy zaświadczeń rozszerzeń Intel® SGX umożliwiają także zweryfikowanie, że aplikacja nie jest zagrożona, a procesor działa z wykorzystaniem najnowszych aktualizacji zabezpieczeń.

Rozszerzenia Intel® SGX umożliwiają ochronę przed tysiącami2 znanych i nieznanych zagrożeń, na wiele z których nie ma jeszcze innych środków zaradczych. Kod i dane są znacznie lepiej chronione z rozszerzeniami Intel® SGX niż bez nich.

Często zadawane pytania

Często zadawane pytania

Rozszerzenia Intel® SGX tworzą kolejny poziom ochrony poprzez zmniejszenie powierzchni ataku. Rozszerzenia Intel® SGX pomagają chronić kod i dane przed atakami złośliwego oprogramowania oraz uprzywilejowanymi eskalacjami podczas przetwarzania danych. Programiści mogą tworzyć zaufane środowiska wykonawcze (TEE) bezpośrednio w domenie procesora/pamięci.

Ataki kanałem bocznym są projektowane tak, aby zbierać zewnętrzne informacje z procesora, takie jak stany zasilania, emisje i czasy oczekiwania w celu wywnioskowania aktywności i wartości 3

Hakerzy zazwyczaj podążają ścieżką najmniejszego oporu. Obecnie oznacza to zazwyczaj atakowanie oprogramowania. Chociaż rozszerzenia Intel® SGX nie są zaprojektowane specjalnie w celu ochrony przed atakami kanałem bocznym, jednak zapewniają rodzaj izolacji kodu i danych, która podnosi poprzeczkę atakującym.

W jaki sposób rozszerzenia Intel® SGX radzą sobie z zagrożeniami bezpieczeństwa:

  • Współpraca: stała współpraca z naukowcami i partnerami, w tym także rola założyciela Confidential Computing Consortium, pomagają nam szybko identyfikować zagrożenia i zmniejszać ich powagę.
  • Większe bezpieczeństwo: rozszerzenia Intel® SGX zostały zaprojektowane w sposób, który pozwala na regularną aktualizację, aby stale zwiększać poziom zabezpieczeń przed atakami.
  • Weryfikacja: rozszerzenia Intel® SGX umożliwiają aplikacjom żądanie weryfikacji w celu potwierdzenia, że działają na zaktualizowanych i bezpiecznych systemach.

Zastrzeżenia i uwagi prawne4

Przejście z szyfrowania danych do szyfrowania przetwarzania

Dowiedz się, w jaki sposób rozszerzenia Intel® SGX tworzą kolejny poziom ochrony poprzez zmniejszenie powierzchni ataku.

Pobierz infografikę

Informacje o produktach i wydajności

2Rozszerzenia Intel® SGX są niewrażliwe na większość zagrożeń na poziomie systemu operacyjnego. Obecnie w bazie znajduje się ponad 140 000 zagrożeń. https://cve.mitre.org.
3Do sierpnia 2020 r. setki badań odnosiło się do rozszerzeń Intel® SGX.