Original-URL des Artikels: https://www.golem.de/news/confidential-computing-vertrauen-ist-schlecht-kontrolle-besser-1911-144989.html    Veröffentlicht: 18.11.2019 09:01    Kurz-URL: https://glm.io/144989

Confidential Computing

Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!

Daten verschlüsselt abzulegen oder bei der Übertragung zwischen zwei Punkten zu verschlüsseln, ist eigentlich nicht schwierig. Ein großes Problem ist allerdings, Daten während der Benutzung vor einem Zugriff von Dritten zu schützen, vor allem beim Cloud Computing. Für die Lösung dieses Problems haben große Anbieter das Confidential Computing Consortium gegründet. Das Projekt setzt dabei sein volles Vertrauen in die Schutzfunktionen von Hardware - ein wirklich irrwitziger Gedanke.

Denn seit Jahren kümmern sich Hacker darum, aufzuzeigen, wie angreifbar und auch wie kaputt die Grundlagen unserer heutigen Rechner sind, da Hardware eben nicht so funktioniert, wie wir es von ihr erwarten. Das gilt insbesondere für zwei Ebenen der Hardware: für die Firmware der Geräte und für die Recheneinheiten selbst, also die Prozessoren.

Die Initiative des Confidential Computing setzt auf die Verwendung einer sicheren Enklave oder auch Trusted Execution Environment (TEE). Das sind spezielle, voneinander und vor allem vom restlichen System abgeschirmte Bereiche, in denen nur signierter Code laufen können soll. Damit sollen sich dann eben sicherheitskritische Daten verarbeiten lassen. Überwacht und forciert wird das dabei von der CPU.

TEEs sind kaputt

Das Konsortium verlässt sich vor allem auf Intels Software Guard Extensions (SGX), künftig dürften wohl alternativ auch ARMs Trustzone oder AMDs SEVs genutzt werden. Die Hardware-Bugs Spectre und Foreshadow zeigen jedoch deutlich, dass SGX massiv angreifbar ist. So können unter Ausnutzung dieser Hardwarefehler etwa kryptografische Schlüssel oder andere vertrauliche Daten aus den eigentlich besonders geschützten Bereichen ausgelesen werden. In den vergangenen zwei Jahren hat es einige solcher Lücken gegeben und es werden wohl noch sehr viel mehr Fehler dieser Art gefunden werden.

Ebenso hat Google in der Vergangenheit der Umsetzung von ARMs Trustzone in den CPUs verschiedener Hersteller klare Vertrauensprobleme bescheinigt. Darüber hinaus wurden mehrfach weitere Angriffe auf ARMs Trustzone demonstriert, etwa die fehlerhafte Nutzung der Technik auf der Nintendo Switch. In diesem Fall wurden die eigentlich vertraulichen Inhalte aus dem Trustzone-Bereich kurzzeitig unverschlüsselt im Userspace des Betriebssystems gespeichert. Derartiges führt die Nutzung der Sicherheitstechnik ad absurdum.

Weniger Komponenten, mehr Vertrauen?

Warum die Initiative dennoch auf ihr sogenanntes Confidential Computing setzt, zeigt sich schnell an den Erläuterungen zu dem Enarx-Projekt von Red Hat, das der Open-Source-Spezialist in die Initiative eingebracht hat. Dieses Projekt soll als eine Art allgemein verfügbare Middleware für Endanwendungen dienen und eben in einer Enklave laufen. Zu der Ankündigung von Enarx schreibt dessen Hauptentwickler Mike Bursell, dass mit der Technik auf sehr viele Schichten des bisher üblichen Software-Stapels des Cloud Computings verzichtet werden könne und damit eben viel potentielle Angriffsfläche einfach entfiele. Nutzer müssten mit der Technik nur noch ihrer eigenen Anwendung, der Middleware wie Enarx und eben der CPU vertrauen statt dem gesamten Software-Stapel des Cloud-Anbieters.

Hinzu kommt, das Enarx auf der Bytecode-Technik Webassembly aufbaut, was einige Sicherheitsversprechen für die Anwendungen selbst bietet, etwa eine Flusskontrolle. Auf dem vergangenen Open Source Summit in Lyon sagte Bursell im Gespräch mit Golem.de, dass das Ziel von Enarx und auch Confidential Computing sei, Anwendungen etwa aus dem Gesundheitswesen oder auch von Versicherungen mit der Technik in das öffentliche Cloud Computing verschieben zu können.

Das ist auch das offensichtliche Ziel der Initiative: Eine Umgebung zu schaffen, in der die Entscheider in diesen Geschäftsbereichen einem Wechsel in die Cloud trotz Datenschutzbedenken zustimmen. Es scheint, als ob alles ganz sicher und vor externen Zugriffen geschützt sei. Aber die zahlreichen Hardware-Bugs zeigen, dass dem eben nicht so ist. Unter diesen Umständen sicherheitskritische Daten in fremde Obhut zu geben, ist schlicht unverantwortlich.

Als einzige Lösung bleibt nur, weiterhin auf ein eigenes Hosting zu setzen. Denn sobald die Daten abgegeben werden, können diese mit genügend krimineller Energie auch von externen Angreifern abgeschöpft werden. Das Confidential Computing hilft dagegen nicht.

 (sg)


Verwandte Artikel:
Sicherheitslücke: Spectre-Angriff kann Intel SGX überwinden   
(07.03.2018, https://glm.io/133209 )
Intel Ponte Vecchio: 16 Chiplets bilden eine Xe-GPU für Supercomputer   
(18.11.2019, https://glm.io/145021 )
Web-Technik: Bytecode Alliance will Webassembly außerhalb des Webs nutzen   
(12.11.2019, https://glm.io/144930 )
Kabelnetz: Ausgaben für Docsis 3.1 nicht sehr hoch   
(14.11.2019, https://glm.io/144995 )
NNP-T und NNP-I: Intel hat den T-1000 der künstlichen Intelligenz   
(14.11.2019, https://glm.io/144987 )

© 1997–2020 Golem.de, https://www.golem.de/