ماه مارس گذشته ، Arm Limited در تلاش برای تمایز دادن ویژگی های پردازنده خود از x86 ، به عنوان بخشی از معماری نسخه 9 ، مفهوم خود را از قلمروها – مناطق جدا شده پردازنده که رشته ها کاملاً رمزگذاری شده اند و توسط سایر رشته ها قابل دسترسی نیستند. روز چهارشنبه ، مجوز IP نیمه هادی مشخصات فنی Realms (سرمایه “R”) را به عنوان پایه و اساس آنچه شرکت اکنون Arm Confidential Compute Architecture (CCA) می نامد ، منتشر کرد.
هدف شرکت: ارائه غیر قابل بهره برداری از فرایندهای مهم سیستم با کد خارج.
مارک نایت ، مدیر مدیریت محصولات معماری Arm ، در گفتگو با Data Center Knowledge توضیح داد: “ما معتقدیم که محاسبات ایمن باید برای همه توسعه دهندگان قابل دسترسی باشد.” “ما واقعاً به دنبال دمکراتیزه کردن رایانش ایمن هستیم. ما می خواهیم نوعی از محیط های با اعتماد بالا را که قبلاً به طور عمده برای شرکای سیلیکون و OEM ها قابل دسترسی بوده است ، به همه توسعه دهندگان گسترش دهیم. بنابراین ما یک محیط امنیتی جدید با اعتماد بالا ایجاد کرده ایم. “
قلمرو یک محیط است به این مفهوم که یک منطقه محصور از پردازنده است ، قادر به اجرای نخ ها است بدون اینکه توسط سایر رشته های خارج از آن محیط دستکاری شود. در مقابل ، یک کانتینر مبتنی بر نرم افزار (به عنوان مثال ، Docker) در ابتدا به عنوان یک منطقه از حافظه جداگانه در نظر گرفته شده بود که فضای نام آن با بقیه سیستم مشترک نیست. در زمان معرفی کانتینرها ، داکر و دیگر قهرمانان آنها امنیت خود را با گفتن این جمله ، از آنجا که فرایندهای خارج از کانتینر نمی توانند محتوای آن را با نام و یا با آدرس شبکه آدرس دهند ، ممکن است وجود نداشته باشد.
این توضیح تقریباً بلافاصله سوراخ هایی در آن ایجاد شد. به گفته مهندسان امنیتی ، یک مانع واقعی برای محافظت از فرایندها در انزوای واقعی ، مستلزم اجرای سخت افزاری است. این همان چیزی است که یک قلمرو خواهد بود: یک محاصره برای فرآیندهایی که باید غیر قابل نفوذ باشد تا قابل اعتماد باشد.
جهان شماره 3
همانطور که معمار ارشد معمار Richard Grisenthwaite در ماه مارس توضیح داد ، فرایندی که از اسرار یا سایر داده های حساس استفاده می کند می تواند به قلمرو خلوت هسته هسته Arm سپرده شود. به این ترتیب ، یک دستگاه مبتنی بر بازو مانند تلفن همراه می تواند به هر کاربری سپرده شود ، بدون اینکه بخش فناوری اطلاعات مجبور باشد محدودیت دسترسی به برنامه را با استفاده از این اسرار اعمال کند – قلمرو به اندازه کافی محدود کننده است. اگر دستگاه گم شود یا حتی به سرقت برود ، این اسرار به همان اندازه محافظت می شوند که گویی در هسته سیارک دفن شده اند.
شوالیه Arm توضیح داد: “معماری ما محافظت شدیدی بین بارهای متقابل بی اعتماد به کار در قلمروها ایجاد می کند ،” محافظت در برابر سیستم عامل های غنی به خطر افتاده مانند لینوکس یا یک ناظر جهانی عادی. و برای اولین بار ، ما همچنین از این بارهای حساس “واقعی” در برابر برنامه های در حال اجرا در دنیای امن محافظت می کنیم. “
“دنیای عادی” و “دنیای امن” اشاره به دو مفهوم موجود در Arm’s Trusted Execution Environment (TEE) در معماری Armv8.4-A است. آنها با روش قبلی پارامترهای Arm که می توان انتظار داشت به منابع بنیادی مانند سیستم عامل و درایورها (نرمال) دسترسی داشته باشند ، از فرآیندهای دیگری که دسترسی آنها به این منابع نیاز به مداخله دارد (Secure) ، انجام می شوند. یک هایپروایزر معمولی ممکن است منابع مربوط به برنامه ها و پردازش ها را در دنیای نرمال مدیریت کند ، در حالی که یک منبع Arm به نام Secure Partition Manager اطمینان حاصل کرد که فضای آدرس پردازش ها در دنیای امن از دنیای نرمال غیر قابل تخریب است.
این نوع روابط کاری برای منابعی که در بالای لایه های اصلی نرم افزار ساخته شده و در صورت تمایل “پشته” تشکیل می شود – برای نرم افزاری که برای به اشتراک گذاشتن عملکرد طراحی شده است ، مناسب بود. اما برای برنامه های شخص ثالث که اگر عملی هستیم ، خود سیستم عامل نیز باید این کار را انجام دهد نه دسترسی ناامن دارند Realms به توسعه دهندگان نرم افزار اجازه می دهد برای بدست آوردن دسترسی غیرمحرمانه به کد و داده های خود ، برای خود محفظه هایی ایجاد کنند که در برابر بدافزارها و دیگر نفوذهایی که از خطاهای سیستم عامل بهره برداری می کنند ، محافظت کنند.
کانتینرها از قبل با جداسازی فضای نام ، یک مرز امنیتی ایجاد می کنند. Hypervisors یک مرز امنیتی اضافی را از طریق قطع اتصال شبکه های VM ها از یکدیگر فراهم می کند. سپس ، برای بسیاری از دستگاه های مبتنی بر بازو تاکنون ، محیط های TEE وجود دارد. پس چرا هر سه این مرزها به اندازه کافی خوب نیستند؟ آیا نمی توانیم آنچه را که Realms درصدد دستیابی به آن است ، بدون ایجاد ایجاد کنیم یکی دیگر مرز امنیتی؟
نایت پاسخ داد: “پاسخ ساده این است ، آنچه شما گفتید تا حد زیادی درست است ،” اما این امر به اجرای كامل سیستم عامل پشتیبانی و ایجاد انزوای بین این فضاهای نامی متكی است. و اطمینان از آن سطح از حسن اجرا بسیار دشوار است. فقط یک اشکال از دسترسی به داده ها از مکانی که نمی خواستید وجود داشته باشد فاصله دارید. “
داده در حال استفاده
آیا وجود نقص در سیاست احتمالی قابل استفاده در رمزگذاری فقط برای کد و مطالبی که کاربران معتقدند یا محرمانه است ، وجود ندارد – یا در آینده نزدیک وجود نخواهد داشت؟ به عبارت دیگر ، آیا اعلامیه محرمانه بودن آسیب پذیری دارایی های دیجیتال را که از طریق سیاست شکسته می شوند ، باز نمی کند؟ آیا در عوض ، آیا سیاست نباید همه چیز را رمزگذاری کند – از همه دارایی های دیجیتال محافظت می کند و همه آنها را برای زندگی در قلمروها واجد شرایط می کند؟
مارک نایت پاسخ داد: “من فکر می کنم این چشم انداز است.” “اگر به رمزنگاری نگاه می کنید ، باید رویکردی نسبتاً جراحی داشته باشید.” وی توضیح داد ، برای داده های در حالت استراحت رمزگذاری همه آنها منطقی است – کل پایگاه داده یا شاید کل حجم ذخیره شده بر روی آن. یک سیاست ریز و دشوار دشوار می شود ، زیرا این امر به سیاست گذاران نیاز دارد تا رفتار درونی برنامه ها و هدف توسعه دهندگان را بهتر درک کنند – که انجام این برنامه ها با قدمت چند ساله ، شاید ده ها سال دشوارتر است. برای داده های در حال انتقال ، مشکل از قبل حل شده است: برای رمزگذاری لینک از TLS استفاده کنید.
وی ادامه داد: “محافظت از داده های مورد استفاده ، سخت تر است.” “این نیاز به سرمایه گذاری بیشتر در مهندسی نرم افزار دارد. و من فکر می کنم زیبایی با فناوری هایی مانند Realms این است که بسیاری از کارها قبلاً مجازی شده اند و ما امنیت مبتنی بر مجازی سازی را در سیستم عامل هایی مانند ویندوز مشاهده می کنیم ، جایی که سرویس هایی مانند فروشگاه های کلیدی در حال انتقال به سیستم عامل های کوچک هستند. این فناوری با کمک به از بین بردن وابستگی به اجرای کامل hypervisor ، از آن سفر پشتیبانی می کند ، زیرا اکنون ما نیز hypervisor را از حوزه خارج می کنیم. اتفاقی که برای سازمانها نسبتاً آسان است. مطمئناً ماشین های مجازی می توانند در یک قلمرو اجرا شوند و تقریباً هیچ تغییری در آن وجود ندارد. “
نایت به ما گفت که با انتشار مشخصات CCA برای Armv9 امروز ، انتظار می رود ظرف چند سال دیگر برنامه های پشتیبانی کننده Realms در پردازنده های Arm منتشر شود. چرا آنقدر طولانی؟
وی پاسخ داد: “ما با به اشتراک گذاشتن معماری که با مشارکت بسیاری از شرکای خود توسعه می دهیم شروع می کنیم ،” و یک فرایند کاملاً شهودی برای دستیابی به آن دقیق و درست وجود دارد. بنابراین ، مطمئناً ، ما باید موارد کاملاً پیچیده ای مانند مجموعه های انطباق را داشته باشیم تا اطمینان حاصل کنیم که شرکای ما می توانند اجرای آنها را تأیید کنند – یا در واقع ، اگر آنها مجوز پیاده سازی را از ما می گیرند ، دقیق بودن آنها هستند. “
وی گفت ، از آنجا روند عملیاتی واقعی مدتی طول می کشد. وی خاطرنشان كرد: مجوزها آزادند كه كاربردهای خود را ایجاد كنند. در مرحله بعدی ، دستیابی به چرخه تولید پردازنده ها از طریق سازندگان – فرآیندی که در حال حاضر با بازیابی از بیماری همه گیر ، کندتر می شود. و در آخر ، ادغام پردازنده های ساخته شده در محصولات مصرفی.
نایت گفت: “یک سری مراحل کامل وجود دارد که باید طی کنیم.” “به اشتراک گذاری مشخصات معماری ، از برخی جهات ، آغاز آن سفر است.”