Software Guard Extentions: Linux-Code kann auf Intel-CPUs besser geschützt werden
Mit den Software Guard Extentions (SGX) hat Intel eine Befehlssatzerweiterung für seine CPUs geschaffen, die Daten von Anwendungen oder sogar deren Code selbst besser vor einem Zugriff von außen schützen soll. Die Technik, um SGX in eigenem Code unter Linux(öffnet im neuen Fenster) zu verwenden, steht nun über ein SDK zur Verfügung.
Laut Intel ermöglicht die Nutzung von SGX sogenannte Enklaven. Das sind spezielle Speicherbereiche, in denen Daten oder auch der Laufzeitcode von Anwendungen abgelegt werden können, ohne dass andere Prozesse darauf zugreifen können. Dies gelte sogar für jene Prozesse, die mit höheren Rechten laufen. Damit kann das Verändern oder Auslesen der Daten verhindert werden.
Das selbst vorgegebene Ziel von Intel(öffnet im neuen Fenster) ist es, damit einen Schutz zu schaffen, der über das Verschlüsseln von Daten hinausgeht. Denn irgendwann müssen die Daten zur Laufzeit entschlüsselt werden und sind damit, zumindest theoretisch, für Angreifer im Speicher verfügbar. Die Verwendung von SGX soll aber ein solches Szenario verhindern. Ebenso könnten mit SGX auch dann Daten weiterhin geschützt bleiben, wenn Angreifer sich höhere Rechte durch Fehler in anderen Anwendungen verschafft haben.
Gesteuert wird das Verhalten von SGX über die Hardware in Zusammenarbeit mit der dazugehörigen Firmware. Erstmals eingeführt hat Intel die SGX im vergangenen Jahr mit seiner Skylake-Architektur. Der Code zur Verwendung von SGX unter Linux steht auf Github zum Download(öffnet im neuen Fenster) bereit. Das SDK umfasst laut Intel eine API-Sammlung, verschiedene Bibliotheken, eine Dokumentation, Beispielcode und einige Werkzeuge, um Anwendungen in C oder C++ zu erstellen, die SGX aktiv nutzen können.
- Anzeige Hier geht es zu Intel-Prozessoren bei Alternate Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.