Omówienie rozszerzeń Intel® Software Guard Extensions (Intel® SGX)
Obecnie rozwiązania bezpieczeństwa zapewniają szyfrowanie danych w zakresie pamięci masowej i podczas przesyłu w sieci, jednak dane ciągle pozostają podatne na ataki, gdy są aktywnie przetwarzane w pamięci. Na przykład, baza Common Vulnerabilities and Exposures, (CVE, baza powszechnych zagrożeń i ryzyk)1, zawiera obecnie ponad 11 000 możliwych do wykorzystania potencjalnych zagrożeń i na 34% z nich ciągle nie ma środków zaradczych. Dzięki obejściu systemu operacyjnego i warstw oprogramowania maszyny wirtualnej rozszerzenia Intel® SGX zapewniają istotną dodatkową ochronę przed wieloma z tych ataków i dodatkowe zabezpieczenia danych oraz umożliwiają zaspokojenie zapotrzebowania na bardziej poufne przetwarzanie danych. Zapewniają rozwiązanie zabezpieczenia sprzętowego, które wykorzystuje szyfrowanie do zmiany w zakresie dostępu do pamięci, tworząc enklawy pamięci chronionej do uruchamiania aplikacji i jej danych. Rozszerzenia Intel® SGX umożliwiają też wymuszanie weryfikacji aplikacji i sprzętu, na którym są one uruchamiane.
Czym jest atak kanałem bocznym i czy należy się nim martwić?
Ataki kanałem bocznym oparte są na wykorzystaniu informacji, takich jak stany zasilania, emisje i czasy oczekiwania bezpośrednio z procesora, aby pośrednio wywnioskować wzorce wykorzystania danych. Ataki te są bardzo złożone i trudne do wykonania, potencjalnie wymagając naruszeń centrum danych firmy na wielu poziomach: fizycznym, sieciowym i systemowym.
Hakerzy zazwyczaj podążają ścieżką najmniejszego oporu. Obecnie oznacza to zazwyczaj atakowanie oprogramowania. Rozszerzenia Intel® SGX nie zostały zaprojektowane specjalnie w celu ochrony przed atakami przy użyciu kanału bocznego, jednak zapewniają pewną izolację kodu i danych, która podnosi wysoko poprzeczkę dla atakujących. Firma Intel stale i uważnie współpracuje z klientami i społecznością badawczą nad identyfikacją potencjalnych zagrożeń kanałem bocznym oraz zmniejszeniem ryzyka ich wystapienia. Pomimo zagrożenia atakami przy użyciu kanału bocznego rozszerzenia Intel® SGX pozostają cennym narzędziem, ponieważ oferują wydajny dodatkowy poziom ochrony.
Czy warto zaufać rozszerzeniom Intel® SGX?
Rozszerzenia Intel® SGX to najlepiej przetestowane, zbadane i wdrożone zabezpieczone sprzętowo zaufane środowisko wykonawcze (TEE) centrum danych o najmniejszej dostępnej powierzchni ataku w systemie. Rozszerzenia Intel® SGX zapewniają znaczną przewagę strategiczną w przypadku restrykcyjnych wymagań dotyczących ochrony prywatności i danych.
Dobrą wiadomością dla klientów chronionych przy użyciu rozszerzeń Intel® SGX jest fakt, że oprócz obrony przed niezliczonymi powszechnymi rodzajami ataków opartych na oprogramowaniu mechanizmy zaświadczeń rozszerzeń Intel® SGX umożliwiają weryfikowanie, że aplikacja nie jest zagrożona, a procesor działa w systemie z najnowszymi aktualizacjami zabezpieczeń.
Rozszerzenia Intel® SGX umożliwiają ochronę przed tysiącami2 znanych i nieznanych zagrożeń, na wiele z których nie ma jeszcze innych środków zaradczych. Kod i dane są znacznie lepiej chronione z rozszerzeniami Intel® SGX niż bez nich.