Confira !
Por quatro anos, assistimos à introdução do Intel Secure Guard Extensions (SGX) para o kernel Linux, e esse trabalho continua com o suporte dos Intel SGX Enclaves, que foi enviado para revisão 27 vezes, enquanto tenta avançar no sentido de o kernel Linux principal.
A cada poucas semanas / meses, vemos as novas rodadas de patches do Intel SGX para o Linux e, neste fim de semana, chegamos à sua revisão v27 para revisão. Este trabalho no subsistema Secure Guard Extensions para o kernel Linux é sobre o fornecimento de regiões de memória criptografada e protegidas por hardware com enclaves SGX. O Intel SGX com mecanismos de criptografia de memória é suportado desde os processadores Skylake, mas demorou um pouco para obter o suporte ao Linux, considerando as áreas do kernel em que ele toca.
O SGX (Intel Software Guard eXtensions) é um conjunto de instruções da CPU que podem ser usadas por aplicativos para separar regiões privadas de código e dados. O código fora da entidade de software hospedado pela SGX não é permitido para acessar a memória dentro do enclave imposto pela CPU. Chamamos essas entidades de enclaves.
Essa confirmação implementa um driver que fornece uma API ioctl para construir e executar enclaves. Os enclaves são construídos a partir de páginas que residem em áreas reservadas de memória física. O conteúdo dessas páginas só pode ser acessado quando mapeado como parte de um enclave, por um encadeamento de hardware em execução dentro do enclave.
Nas recentes revisões das fundações da SGX, as mudanças foram atenuadas, o que nos dá esperança de que os bits da SGX possam ser mantidos em breve, a menos que os desenvolvedores do upstream descubram outros problemas que gostariam que fossem abordados com esse recurso de segurança da Intel.
De qualquer forma, para aqueles que querem experimentar, os patches v27 estão disponíveis.
Até a próxima !!
Nenhum comentário:
Postar um comentário