Intel SGX技術學習瞭解

原創

2020-02-23 10:29

Intel SGX新技術學習研究引導手冊_黑客技術

http://www.hackdig.com/05/hack-22223.htm

SGX是Intel開發的新的處理器技術，可以在計算平臺上提供一個可信的空間，保障用戶關鍵代碼和數據的機密性和完整性，從SGX提出後，其吸引了一批系統和網絡安全的研究者，NCCGroup的博客對SGX方面的資料進行了一個初步的總結，對研究者學習SGX技術具有很好的引導作用。這裏主要根據該博文對SGX進行簡單的整理。

目前並沒有基於SGX的產品出現，不過學術界已經給出了一些應用來說明SGX的強大，相信工業界也正在開發對應的產品。SGX能將安全應用依賴的可信計算基TCB減小到僅包含CPU和安全應用本身，將不可信的複雜OS和虛擬機監控器VMM排除在安全邊界之外。

什麼是SGX？

SGX全稱Intel Software Guard Extensions，顧名思義，其是對因特爾體系（IA）的一個擴展，用於增強軟件的安全性。這種方式並不是識別和隔離平臺上的所有惡意軟件，而是將合法軟件的安全操作封裝在一個enclave中，保護其不受惡意軟件的攻擊，特權或者非特權的軟件都無法訪問enclave，也就是說，一旦軟件和數據位於enclave中，即便操作系統或者和VMM（Hypervisor）也無法影響enclave裏面的代碼和數據。Enclave的安全邊界只包含CPU和它自身。SGX創建的enclave也可以理解爲一個可信執行環境TEE（Trusted Execution Environment）。不過其與ARM TrustZone（TZ）還是有一點小區別的，TZ中通過CPU劃分爲兩個隔離環境（安全世界和正常世界），兩者之間通過SMC指令通信；而SGX中一個CPU可以運行多個安全enclaves，併發執行亦可。當然，在TZ的安全世界內部實現多個相互隔離的安全服務亦可達到同樣的效果。

【enclaves--飛地（指在本國境內的隸屬另一國的一塊領土）】

相關文獻資料

---Intel發佈了三個博客給出了SGX的設計目標（總共8個設計目標），作爲理解SGX的背景材料比較重要：

（1）Intel? SGX for Dummies (Intel? SGX Design Objectives) : September 2013, Matthew Hoekstra

（2）Intel? SGX for Dummies – Part 2 : June 2014, Matthew Hoekstra

（3）Intel? SGX for Dummies – Part 3 : September 2014, Matthew Hoekstra

---SGX本身的運行機制可以通過如下資料瞭解（前三篇是Intel在2013的HASP workshop上一連出三篇介紹SGX的文章）：

（4）Innovative Instructions and Software Model for Isolated Execution: June 2013, Frank McKeen, Ilya Alexandrovich, Alex Berenzon, Carlos Rozas, Hisham Shafi, Vedvyas Shanbhogue and Uday Savagaonkar, Intel Corporation

（5）Using Innovative Instructions to Create Trustworthy Software Solutions

（6）Innovative Technology for CPU Based Attestation and Sealing

（7）Intel? Software Guard Extensions(Intel? SGX) Instructions and Programming Model: June 2013, Frank McKeen, Ilya Alexandrovich, Alex Berenzon, Carlos Rozas, Vedvyas Shanbhogue and Uday Savagaonkar, Intel Corporation

（8）Intel? Software Guard Extensions(Intel? SGX): November 2013, Carlos Rozas, Intel Labs (given at CMU)

（9）Intel? Software Guard Extensions Programming Reference Rev 2 (#329298-002): October 2014

---德國Technische Universit?t Darmstadt (CASED)的教授Ahmad-Reza Sadeghi作了一個關於嵌入式系統安全的講座，其中對Intel SGX這塊也有一個報告，總結的很不錯，如下：

（10）Trusted Execution Environments Intel SGX

---瞭解SGX的基本運行方式和原理後，用戶最關心的就是SGX能有什麼實際應用了，大家都知道PC時代是“WinTel”時代，也就是微軟和因特爾密不可分的關係，最先實用SGX的就是微軟了，值得關注的是微軟的VC3和Haven，文章分佈參考如下鏈接：

（11）VC3: Trustworthy Data Analytics in the Cloud，October 2014

（12）Shielding applications from an untrusted cloud with Haven ，OSDI 2014

---作爲安全方向的新技術，由於還沒有實用的系統和產品，分析其安全性就是比較重要的一步，下面資料是關於SGX技術的一些安全分析：

（13）Intel Software Guard Extensions (SGX) Is Mighty Interesting: July 2013, Rich Mogull - Discusses the positive applications against malware, hypervisors and potential to replace HSMs.

（14）Thoughts on Intel's upcoming Software Guard Extensions (Part 1): August 2013, Joanna Rutkowska – Initial high-level thoughts on the functionality provided and how it compliments existing Intel technologies.

（15）Thoughts on Intel's upcoming Software Guard Extensions (Part 2): September 2013, Joanna Rutkowska – Lower-level thoughts on good and bad applications for SGX.

（16）SGX: the good, the bad and the downright ugly: January 2014, Shaun Davenport & Richard Ford -

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

Intel SGX技術學習瞭解

高效率使用windows

智能決策新時代：可視化大屏是否能夠超越傳統白板？

includeOS完整啓動過程

Dart語法基礎

Linux命令學習一

web的學習筆記一

Linux常用命令大全

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結