Представлен (https://asylo.dev/blog/2018/announcing-asylo.html) новый открытый фреймворк Asylo (https://asylo.dev/), при помощи которого можно легко адаптировать приложения для выноса части функциональности, требующей повышенной защиты, на сторону защищённого анклава (TEE (https://en.wikipedia.org/wiki/Trusted_execution_environment), Trusted Execution Environment). Код фреймворка написан на языке С++ и распространяется (https://github.com/google/asylo) под лицензией Apache 2.0. Фреймворк подготовлен компанией Google, но не является официально поддерживаемым продуктом Google. Для упрощения разработки предлагаются образы Docker-контейнеров с реализацией готового сборочного окружения и среды для тестирования работы анклавов.Использование анклавов подразумевает разбиение приложения на две логические части: небольшой верифицированный защищённый компонент для анклава (например, код для работы с секретными данными) и незащищённый компонент (остальной код приложения). Asylo абстрагирует функциональность анклавов и позволяет создавать переносимые приложения, которые могут быть портированы для разных технологий анклавов без изменения кода программы. Использующая Asylo программа может сохранять возможность изолированного выполнения конфиденциальных вычислений в различных окружениях, в которых применяются аппаратные или программные технологии изоляции.
Для выполнения в анклаве, например, может быть вынесен код для шифрования, аутентификации, работы с конфиденциальными данными, ключами и паролями. В качестве базового набора примитивов шифрования, которые могут использоваться в анклаве, предлагается BoringSSL (форк OpenSSL). Кроме того Asylo предоставляет API для управления анклавом (Enclave Manager, Enclave Client), набор POSIX-функций для применения в анклаве, средства для идентификации и авторизации, API для защищённого ввода/вывода и виртуализации доступа к ФС, поддержку Protocol Buffers и gRPC c протоколом EKEP (Enclave Key Exchange Protocol).
Основными задачами, которые ставятся при использовании анклавов, являются защита выполняемого в анклаве кода от компрометации основной системы и эксплуатации уязвимостей в окружении вне анклава, обеспечение конфиденциальности и целостности хранимой в анклаве информации, гарантия целостности анклава в процессе выполнения кода. Применение анклавов также позволяет защитить приложения, работающие с конфиденциальными данными, от саботажа администраторов или доступа третьих лиц, в условиях применения совместно используемых инфраструктур виртуализации и облачных систем.Из аппаратных механизмов изоляции в Asylo пока поддерживается только технология Intel SGX. В будущих выпусках обещают добавить поддержку и других систем, таких как ARM TrustZone, AMD PSP (Platform Security Processor) и AMD SEV (Secure Encryption Virtualization). Программные механизмы формирования анклавов основаны на применении технологий виртуализации.
В контексте технологии Intel SGX анклав представляет собой закрытые области памяти, в которых может выполняться код приложений пользовательского уровня, содержимое которых не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM.
Передать управление коду в анклаве невозможно традиционными функциями перехода и манипуляциями с регистрами и стеком - для передачи управления в анклав применяется специально созданная новая инструкция, выполняющая проверку полномочий. При этом помещённый в анклав код может применять классические методы вызова для обращения к функциям внутри анклава и специальную инструкцию для вызова внешних функций. Для защиты от аппаратных атак, таких как подключение к модулю DRAM, применяется шифрование памяти анклава.URL: https://asylo.dev/blog/2018/announcing-asylo.html
Новость: https://www.opennet.dev/opennews/art.shtml?num=48555
Очень сильный костыль, так как аппаратные анклавы intel тоже с уязвимостями...
очень костыльный костыль -- так как ядро процессора работает поверх другого ядра, работающего поверх другого ядра.по факту -- исполнять инструкции внутри анклава ни чем не отличается от исполнения инструкций внутри Модуля ядра ОС, в случае если бы мы сказали "а теперь это ядро ОС -- это не Ядро ОС а будем считать что это часть прошивки процессора! а уже вот поверх этого мы напишем ещё одну ОС"
то есть -- правильным решением было бы УМЕНЬШАТЬ число наслоенных друг на друга ядер -- а не пооощрять это наслоение.
Значит наше старое и провереное решение в виде стек-машины не потеряет актуальность.
мне одному кажется, что это будет использовано в вирусах в первую очередь
Нет, в первую очередь эта штука нужна для DRM.
Еще рекламщикам будет хорошо - трекать юзверев
В последние годы Гугл, несмотря на свой принцип "Dont be Evil" просто с удовольствием внедряет DRM повсюду.
Скажем их Гугль Плей. Кино - DRM, Книги - тотальное DRM от Adobe, да еще такое, что на Линуксе даже и не скачать ничего, только онлайн чтение в Хроме или на планшете. И это притом, что те же самые книги можно купить в другом известном магазине и без DRM.Музыка пока еще без DRM, вероятно исключительно из-за того, что в своё время не предусмотрели в MP3 данной возможности.
Про всякое EME, в разработке которого Гугл принимал активнешее участие я даже и не говорю, тут единственный "плюс" что они хотя бы сделали его кроссплатформенным и кроссбраузерным, а не как Adobe со своими книгами.
>Музыка пока еще без DRM, вероятно исключительно из-за того, что в своё время не предусмотрели в MP3 данной возможности.Сразу видно эксперта! А какие возможности для DRM предусмотрены, скажем, в форматах из стандарта MPEG4?
> внедряет DRM повсюду.Помнишь, была яхта Победа, но при отплытии зацепилась за корягу, 2 буквы отпало. Вот у гугла тоже отпало Don't.
>> внедряет DRM повсюду.
> Помнишь, была яхта Победа, но при отплытии зацепилась за корягу, 2 буквы
> отпало. Вот у гугла тоже отпало Don't.Отпало n't всего лишь
> от саботажа администраторов или доступа третьих лиц, в условиях применения совместно используемых инфраструктур виртуализации и облачных систем.О да! А если виртуализовать этот самый анклав, то он несомненно не будет доступен на хосте.
Ага замечательная штука, теперь вирусня будет процветать и никакой антивирь её не вылечит!
"Новый" антивирь от M$, "работающий" на GPU вылечит...
>теперь вирусня будет процветать и никакой антивирь её не вылечит!И откуда только берутся все эти истеричные паникёры? Не понимают, что к чему, но всё равно визжат.
Даже не знаю, радоваться ли потенциальному решению проблем с spectre или негодовать от грядущего всепоглощающего DRM.
В Intel SGX есть свои несколько дыр со спектром и боковые аттаки на кеш данных SGX анклав...
>всепоглощающего DRMпро денуву так же говорили. А ранее - про старфорс.
Все, к чему есть доступ, можно ломануть - было бы желание. Будут пользовать 1.5 копираста - будет работать. Станет популярным - появятся кряки на рутрекере
> про денуву так же говорили. А ранее - про старфорс. Все, к чему есть доступ, можно ломануть - было бы желание. Будут пользовать 1.5 копираста - будет работать. Станет популярным - появятся кряки на рутрекереЕсли вы умеете ломать или вам доставляет удовольствие разбираться в принципах "тяжелой" защиты и ее обхода – рад за вас.
Но зачем этот геморрой, абсолютно на ровном месте, сдался всем остальным?Starforce и наследники, кстати, уже вроде бы давно "типа" (зелен виноград) не для абсолютной защиты, а чтобы "снять сливки". Т.е. пара недель или месяц до первого взлома считаются уже хорошим результатом, а потом могут вообще выпустить версию без защиты, чтобы поменьше саппорт загружать.
Ну и … не знаю как сейчас, но раньше апдейты ломать особо не спешили, особенно не мейнстрима, т.к. ломальщикам это тупо не интересно было. А без апдейтов придется сидеть на первых, забагованных, но зато "крякнутых" версиях или все же ставить ДРМ-блобик.
Опять же, обратная совместимость у всего этого ДеРМа обычно никакая – решишь через десяток лет запустить, а оно начинает ругаться на эмулятор/VM и удачи в поиске кряков и других путей обхода.
Но это все почти офтоп.Проблема скорее в том, что если оно станет популярным, то его, возможно, будут использовать все кому не лень --> Flash Resurrected 2.0 или что-то подобное. Нафиг-нафиг такое счастье (как впрочем и "поиск кряков"), нам штеудМЕ пока за глаза хватает.
теперь когда наиболее ценные данные будут лежать ровно в одном месте их будет проще стелеметрировать через специальную фичу самого анклава. Ожидайте в будущих релизах.
Ужасен термин "анклав". Это стандарт или "выход из положения"? Ещё бы "хутор" )))
Разговор-то об изолированной, автономной, но и надёжной, среде исполнения.
Дык ведь и само название достовляет - Asylo )))) (для тех кто в танке, "asylum" - по-английски сумасшедший дом)
> Дык ведь и само название достовляет - Asylo )))) (для тех кто
> в танке, "asylum" - по-английски сумасшедший дом)Но в оригинале -- "прибежище, убежище".
а vault уже занято хашикорпом?
Из фоллаута позаимствовали.
Там ключевой момент в том, что в анклав грузится только подписанный интелом код вроде - логично, т.к без этого и анклав бесполезен, иначе можно просто загрузить еще код и сделать все что нужно. Хотя может и так можно будет))). Ну и с подписанием это не фича для безопасности, а очередной бэкдор.Пора бы им уже прекратить в принципе свои ТСЗАП пытаться сделать, все равно же где-то по пути до мозга контент в открытом виде передается...)
Сейчас вроде в деле построения всяческих нейроинтерфейсов начинают получаться первые небольшие сдвиги. Отсюда масса интереснейших вопросов, которыми можно задаваться сейчас:
DRM, реклама, для мозга - какая она будет? Эпидемии мыслевирусов? Шифрование мысли?
Будут ли проприетарные, опенсорсные и свободные мысли и/или ощущения?
Мыслительная деятельность на рабочем месте - она чья? - фирмы или работника? - должна ли она как то бэкапится, как отделять личные мысли от рабочих? что есть мыслепреступление и мыслеразглашение?.. как регулировать такие технологии применительно к работе с политическим электоратом? что есть мыслесоциальная сеть, группа, сообщество, мыслемодератор, мыслеадмин?;)
Полезная фича для вирусов, тракинга пользователя и DRM.
1. Все в специальном месте. Кошелек украсть легче, чем большую сумку.
2. Есть куда класть скрытый от антивиря код.
Странный если убрать букву Т - код, странная система распространения. А интересно во что превратится весь open source, когда наконец Google всех съест???
производя херату типа вот этого фреймворка для анклавов -- гугл явно отдаляется от того чтобы всех есть.скорее здесь мы имеем здесь лишь нонсенс который случайно был расценят журналистом как WOW-эффект