文/雲原生機密計算 SIG
機密計算是一種依賴於硬件的使用中數據保護技術。芯片廠商通過提供特殊的硬件指令、受保護的加密內存區域等手段,輔以基於硬件的密鑰管理和密碼學操作,為使用中的數據提供了一個受保護的可信編程環境,通常稱之為可信執行環境(Trusted Execution Environment,簡稱 TEE)。
利用最底層硬件所能提供的安全性,在保持最小信任依賴的情況下,機密計算技術可以將操作系統和設備驅動程序供應商、平台和設備供應商、服務提供商及系統管理員從用户需要信任的實體列表中移除,從而大大降低了可信計算基(TCB, Trusted Computing Base)的大小。龍蜥社區為推動機密計算技術的應用,提供若干機密計算創新項目,目的是降低機密計算技術的使用門檻。
技術方案
JavaEnclave
JavaEnclave(Teaclave Java TEE SDK)是一個面向 Java 生態的 Host-Enclave 機密計算編程框架,與 Intel SGX SDK 和 OpenEnclave 具有相同的編程模型。它提供了一個 Pure Java 的機密計算開發界面和構建工具鏈;創新性地採用 Java 靜態編譯技術,將 Java 敏感代碼編譯成 native 包並在 SGX 環境下運行。在保證機密計算極致安全的同時,將機密計算開發生態從 C/C++ 擴展到 Java,極大降低了機密計算應用的開發與編譯構建門檻,提升了開發效率與用户體驗。
目前 JavaEnclave 已經在 Apache 開源社區開源並更名為 Teaclave Java TEE SDK,作為 ApacheTeaclave 孵化項目的一個子項目繼續發展。JavaEnclave 將立足龍蜥社區雲原生機密計算 SIG 生態,支持更多操作系統和 TEE 硬件平台,吸收社區廣大開發者的反饋意見和貢獻,持續改進並不斷完善功能特性。
Occlum
Occlum 是基於 Intel SGX 實現的一套輕量級的具有內存安全的 LibOS,大大簡化了 SGX 應用開發的難度。使用 Occlum 後,用户的工作負載只需要修改極少量(甚至無需修改)源代碼即可在 Intel SGX 上運行,以高度透明的方式保護用户數據的機密性和完整性。
今年年底即將發佈的 Occlum v1.0 版本應用了 SGX 的 EDMM (Enclave 動態內存管理)特性,大大降低了應用運行於 Enclave 的適配難度,以及提升了 Enclave 裏應用的啓動速度和內存相關性能。
RATS-TLS
RATS-TLS 設計了一種支持異構硬件機密計算技術的雙向傳輸層安全協議,它在 TLS 的基礎上增加了將 TLS 中的公鑰與 TEE 遠程證明 Evidence 綁定的能力,解決了不同 TEE 之間難以通過安全可信的方式傳輸數據的問題。
從 RATS-TLS 項目衍生出的新項目 librats 已經支持多家主流芯片廠商的遠程證明認證格式,並允許異構 TEE 之間進行雙向遠程證明認證。librats 已經支持最新定義的 TCG DICE Evidence 擴展,並計劃捐贈給 CCC(機密計算聯盟,Confidential Computing Consortium)。
SGX 虛擬化
SGX 虛擬化允許將 SGX 硬件能力透傳給虛擬機和容器,以允許用户將敏感工作負載運行在基於 Intel SGX Enclave 的 TEE 中。
目前 SGX 虛擬化已支持 Anolis OS 8,可為雲上用户提供基於 Intel SGX Enclave 技術的應用級安全防護能力。
CCZoo
Intel 發起並開源了 Confidential Computing Zoo (CCZoo)。CCZoo 提供了不同場景下各種典型端到端安全解決方案的參考案例,增強用户在機密計算方案實現上的開發體驗,並引導用户結合參考案例快速設計滿足自己需求的機密計算解決方案。
CCZoo 目前提供了基於 LibOS Gramine + Intel SGX + OpenAnolis 容器的 E2E 安全解決方案參考案例,其中包括在線推理服務和橫向聯邦學習等。後續,CCZoo 計劃基於 OpenAnolis,提供更多的機密計算參考案例,為用户提供相應的容器鏡像,實現敏捷部署。
Intel HE
Intel 提供了對於同態加密技術的全棧式支持,包括一系列工具套件和加速庫,如 Intel HE Toolkit、Intel HE Acceleration Library (Intel HEXL) 、Intel Paillier Cryptosystem Library (IPCL),以及標準的性能測試基準 Homomorphic Encryption Benchmarking Framework (HEBench)。
更多龍蜥白皮書精選內容,點擊這裏查看。
相關鏈接:
雲原生機密計算 SIG 主頁:https://openanolis.cn/sig/coco
更多龍蜥技術特性解析可移步《龍蜥特性百科》:https://anolis.gitee.io/anolis_features/
2022 龍蜥社區全景白皮書(或公眾號【OpenAnolis龍蜥】回覆關鍵字“白皮書”獲取)https://openanolis.cn/openanoliswhitepaper
—— 完 ——
