Intel Software Guard Extensions、一連のトレーニング資料。 パート1、Intel SGXの基本

上の教材のシリーズの最初の部分のインテルソフトウェアガード拡張機能（インテルSGX）は、技術の簡単な説明です。 詳細については、以下を参照してください。ドキュメントでの一環として、 インテル®ソフトウェアガード機能拡張SDK 。 このシリーズのすべてのトレーニング資料のリストについては、 Intel Software Guard Extensionsの一連のトレーニング資料の紹介を参照してください。

Intel Software Guard Extensionsテクノロジー

ソフトウェアアプリケーションは、多くの場合、パスワード、アカウント番号、財務データ、暗号化キー、医療データなどの機密情報を処理する必要があります。 このデータへのアクセスは、許可された受信者のみが利用できる必要があります。 Intel SGXの用語では、このような機密情報は「アプリケーションシークレット」と呼ばれます。



オペレーティングシステムのタスクは、これらのシークレットが他のユーザーまたはアプリケーションに誤って開示されないように、コンピューターにセキュリティポリシーを適用することです。 オペレーティングシステムは、ユーザーが別のユーザーのファイルにアクセスすることを許可しません（明示的な許可が付与されていない場合）。 あるアプリケーションが別のアプリケーションのメモリにアクセスするのを防ぎます。 厳密に制御されたリソースを除く、OSリソースにアクセスするために必要な権限のないユーザーを許可しません。 アプリケーションは、データ暗号化などの追加の保護手段を使用して、第三者がストレージやネットワーク接続経由​​で送信されたデータにアクセスできないようにします。たとえ攻撃者がOSや機器にアクセスできたとしてもです。



これらのすべての保護対策にもかかわらず、ほとんどのコンピューターシステムには脆弱性が残っています。 さまざまなメカニズムが、あるアプリケーションを別のアプリケーションから保護し、権限を持たないユーザーからOSを保護しますが、通常、アプリケーションはOS自体を含む、より高いレベルの権限で実行されるプロセスからほとんど保護されません。 管理者権限を持つ悪意のあるプログラムは、すべてのシステムリソースおよびシステムで実行されているすべてのアプリケーションに無制限にアクセスできます。 高度なマルウェアは、アプリケーションの防御メカニズムを攻撃して、暗号化キーや機密データさえもメモリから直接抽出できます。



インテルは、高レベルの秘密とそのようなソフトウェア攻撃から保護するためにインテルSGX拡張機能を開発しました。 Intel SGXは、アプリケーションが飛び地を作成できるようにするCPU命令のセットです。アプリケーションのアドレス空間内の保護された領域は、高度なマルウェアでも機密性と整合性を保証します。 エンクレーブコードは特別な指示によってサポートされており、Windows * DLL（ダイナミックリンクライブラリ）ファイルとしてコンパイルおよびロードされます。



Intel SGX拡張機能は、アプリケーションの脆弱性を軽減します。 図 図1は、Intel SGXエンクレーブの有無での潜在的な攻撃領域の大きな違いを示しています。





図1.インテルソフトウェアガードエクステンションの有無にかかわらず攻撃エリア

Intel Software Guard Extensionsがデータを保護する方法

Intel SGXは、ハードウェアとソフトウェアを標的とする攻撃に対して次の保護を提供します。

• エンクレーブの外部からの読み取りおよび書き込みのためのエンクレーブのメモリへのアクセスは、現在の権限レベルとCPUの動作モードに関係なく存在します。
• 作業レベルの飛び地は、ソフトウェアまたはハードウェアデバッガーを使用したデバッグには使用できません。 （デバッグ属性を持つエンクレーブを作成できます。インテルSGXデバッガーは、標準デバッガーと同じ方法でエンクレーブの内容を表示できます。これは、ソフトウェア開発プロセスの利便性を高めるために行われます。）
• 従来の関数呼び出し、遷移、レジスタ操作、またはスタックを使用して、飛び地環境に入ることはできません。 エンクレーブ関数を呼び出す唯一の方法は、いくつかのセキュリティチェックを実行する新しい命令を使用することです。
• エンクレーブメモリは、再生保護付きの標準暗号化アルゴリズムを使用して保護されます。 メモリを読み取るか、RAMモジュールを別のシステムに接続すると、暗号化されたデータのみを取得できます（図2を参照）。
• メモリの暗号化キーは、電源の入れ直しが変更されるたびにランダムに変更されます（たとえば、ロード時、スリープおよび休止状態の後に作業を再開するとき）。 キーはCPU内に保存され、外部からアクセスできません。
• データはエンクレーブで囲まれており、このエンクレーブのコードでのみ使用可能です。

保護されたメモリ領域のサイズは厳密に制限され、システムBIOSによって設定されます。 これは通常、64 MBまたは128 MBです。 一部のシステムメーカーは、BIOSでこの値を構成する機能を提供しています。 各エンクレーブのサイズに応じて、5〜20個のエンクレーブをメモリ内に同時に作成できます。





図2.安全なアプリケーションでのIntel Software Guard Extensionsエンクロージャーのデータ保護

仕組み

Intel SGXを使用するには、アプリケーションを2つのコンポーネントに分割する必要があります（図3を参照）。

• 信頼されるコンポーネント。 これは飛び地です。 信頼できるコンポーネントのコードは、アプリケーションの秘密にアクセスします。 単一のアプリケーションには、複数の信頼できるコンポーネント/エンクレーブがある場合があります。
• 信頼されていないコンポーネント。 これはアプリケーションの残りの部分であり、そのモジュールのいずれかです。 エンクレーブの観点からは、OSとVMMの両方が信頼できないコンポーネントと見なされることに注意してください。

信頼できるコンポーネントはできるだけ小さくし、最も信頼性の高い保護が必要なデータと、このデータを直接操作する操作のみを含める必要があります。 複雑なインターフェースを持つ大きな飛び地は、より多くの保護されたメモリを消費するだけでなく、脆弱性を増加させます。



エンクレーブは、信頼できるコンポーネントと信頼できないコンポーネント間の相互作用も最小限に抑える必要があります。 エンクレーブはメモリの保護領域を超えて、信頼できないコンポーネントの関数を呼び出す（特別な命令を使用）ことができますが、攻撃に対するエンクレーブのより信頼性の高い保護を提供するために、そのような依存関係を制限することをお勧めします。





図3. Intel Software Guard Extensionsアプリケーションの実行

認証

SGXアーキテクチャでは、認証はプラットフォーム上に特定のエンクレーブが作成されたことの確認です。 2つの認証メカニズムがあります。

• 同じプラットフォーム上に配置された2つの飛び地は、相互認証を実行するときに、ローカル認証が発生します。
• 委任状は、リモート飛び地・サプライヤで確認された時点リモート認証が発生します。

ローカル認証

ローカル認証は、タスクを完了するために連携して動作する必要がある複数のエンクレーブがアプリケーションにある場合、または2つの別個のアプリケーションがエンクレーブ間でデータを交換する必要がある場合に役立ちます。 各エンクレーブは、異なるエンクレーブをチェックして、信頼できることを確認する必要があります。 その後、飛び地は安全なセッションを確立し、ECDHキー交換を使用してセッションキーを共有します。 このセッションキーは、両方のエンクレーブに共通するデータを暗号化するために使用できます。



両方のエンクレーブが同じアプリケーションで作成されている場合でも、あるエンクレーブは別のエンクレーブの保護されたメモリ空間にアクセスできないため、すべてのポインターから値への参照を削除してコピーする必要があります。 完全なデータセットをあるエンクレーブから別のエンクレーブに転送する必要があります。

リモート認証

リモート認証により、Intel SGXプラグインとプラットフォーム機器は、信頼を確立するためにサードパーティのサーバーに送信される提案を形成します。 このソフトウェアには、アプリケーションエンクレーブに加えて、Intelが提供するQuoting Enclave（QE）およびProvisioning Enclave（PvE）コンポーネントが含まれています。 認証機器-Intel SGXをサポートするCPU。 プラットフォーム固有の非対称機器キーと組み合わせたプログラム情報の要約を使用して、承認されたチャネルを介してリモートサーバーに送信される提案を作成します。 エンクレーブインスタンスが正しく作成され、Intel SGXをサポートするプロセッサで実行されているとリモートサーバーが判断した場合、サーバーは信頼を確立し、検証済みのチャネルを介してシークレットを送信します。

データシーリング

データシーリングとは、データを暗号化することで、コンテンツを公開せずに信頼できないメモリまたはストレージに書き込むことができます。 このデータは後でエンクレーブによって読み取られ、印刷（復号化）できます。 暗号化キーはリクエストに応じて内部で作成され、エンクレーブに公開されません。



データを封印するには2つの方法があります。

• アイデンティティ飛び地。 このメソッドは、特定のエンクレーブに固有のキーを作成します。
• アイデンティティシール。 この方法は、エンクロージャーのシーリングセンターのIDに基づいてキーを作成します。 同じ署名証人の複数の飛び地が同じ鍵を形成できます。

エンクロージャーシーリング

エンクレーブ証明書で封印されている場合、キーはデータを封印した特定のエンクレーブに固有です。 エンクレーブの変更が署名に影響すると、新しいキーが作成されます。 この方法を使用すると、エンクレーブの1つのバージョンによってシールされたデータは、同じエンクレーブの別のバージョンでは使用できなくなります。 この方法の副作用は、封印されたデータをアプリケーションとその飛び地の新しいバージョンに転送できないことです。 このアプローチは、アプリケーションの新しいバージョンで古いシールデータを使用しないオファーを対象としています。

シーリング証明書によるシーリング

シール証明書でシールすると、同じセンターの複数の飛び地が互いのデータをシールして印刷できます。 これにより、エンクレーブのあるバージョンから別のバージョンにデータを転送したり、同じプロバイダーの複数のアプリケーションとデータを共有したりできます。



ソフトウェアの古いバージョンへのアクセスを拒否し、アプリケーションの新しいバージョンで封印されたデータにエンクレーブする場合は、エンクレーブに署名するときにソフトウェアのバージョン番号を使用できます。 指定されたソフトウェアバージョン番号より古いエンクレーブバージョンはキーを生成できないため、データを印刷できません。

チュートリアルでのIntel Software Guard Extensionsテクノロジーの使用方法

Intel SGXの3つの重要なコンポーネントである、飛び地、認証、およびシーリングについて説明しました。 このチュートリアルでは、インテルSGXのコアであるエンクレーブの実装に焦点を当てます。 飛び地を作成せずに認証または封印を行うことはできません。 さらに、これによりチュートリアルのサイズが制限されます。

将来のリリースで

教材のシリーズの第二部ではインテル・ソフトウェアガード拡張機能拡張機能：パート2、アプリケーションの作成 、我々はインテルSGXの支援を受けて作成されるパスワードマネージャ、見てください。 このアプリケーションを作成するための要件、制限、およびユーザーインターフェイスについて説明します。 ニュースをフォローしてください。



このシリーズのすべての教材のリストを参照してください。記事は、 拡張ガードソフトウェアインテルの教材のシリーズを提供します 。