Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
Сообщение от opennews (??) on 06-Май-18, 23:21
Представлен (https://asylo.dev/blog/2018/announcing-asylo.html) новый открытый фреймворк Asylo (https://asylo.dev/), при помощи которого можно легко адаптировать приложения для выноса части функциональности, требующей повышенной защиты, на сторону защищённого анклава (TEE (https://en.wikipedia.org/wiki/Trusted_execution_environment), Trusted Execution Environment). Код фреймворка написан на языке С++ и распространяется (https://github.com/google/asylo) под лицензией Apache 2.0. Фреймворк подготовлен компанией  Google, но не является официально поддерживаемым продуктом Google. Для упрощения разработки предлагаются образы Docker-контейнеров с реализацией готового сборочного окружения и среды для тестирования работы анклавов. Использование анклавов подразумевает разбиение приложения на две логические части: небольшой верифицированный защищённый компонент для анклава (например, код для работы с секретными данными) и незащищённый компонент (остальной код приложения). Asylo абстрагирует функциональность анклавов и позволяет создавать переносимые приложения, которые могут быть портированы для разных технологий анклавов без изменения кода программы. Использующая Asylo программа может сохранять возможность изолированного выполнения конфиденциальных вычислений в различных окружениях, в которых применяются аппаратные или программные технологии изоляции. Для выполнения в анклаве, например, может быть вынесен код для шифрования, аутентификации, работы с конфиденциальными данными, ключами и паролями. В качестве базового набора примитивов шифрования, которые могут использоваться в анклаве, предлагается  BoringSSL (форк OpenSSL). Кроме того Asylo предоставляет API для управления анклавом (Enclave Manager, Enclave Client), набор POSIX-функций для применения в анклаве, средства для идентификации и авторизации, API для защищённого ввода/вывода и виртуализации доступа к ФС, поддержку  Protocol Buffers и gRPC c протоколом EKEP (Enclave Key Exchange Protocol). Основными задачами, которые ставятся при использовании анклавов, являются защита выполняемого в анклаве кода от компрометации основной системы и эксплуатации уязвимостей в окружении вне анклава, обеспечение конфиденциальности и целостности хранимой в анклаве информации, гарантия целостности анклава в процессе выполнения кода. Применение анклавов  также позволяет защитить приложения, работающие с конфиденциальными данными,  от саботажа администраторов или доступа третьих лиц, в условиях применения совместно используемых инфраструктур виртуализации и облачных систем. Из аппаратных механизмов изоляции в Asylo пока поддерживается только технология Intel SGX. В будущих выпусках обещают добавить поддержку и других систем, таких как ARM TrustZone, AMD PSP (Platform Security Processor) и AMD SEV (Secure Encryption Virtualization). Программные механизмы формирования анклавов основаны на применении технологий виртуализации. В контексте технологии Intel SGX анклав представляет собой  закрытые области памяти, в которых может выполняться код приложений пользовательского уровня, содержимое которых не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM. Передать управление коду в анклаве невозможно традиционными функциями перехода и манипуляциями с регистрами и стеком - для передачи управления в анклав применяется специально созданная новая инструкция, выполняющая проверку полномочий. При этом помещённый в анклав код может применять классические методы вызова для обращения к функциям внутри анклава и специальную инструкцию для вызова внешних функций. Для защиты от аппаратных атак, таких как подключение к модулю DRAM, применяется шифрование памяти анклава.   URL: https://asylo.dev/blog/2018/announcing-asylo.html Новость: https://www.opennet.ru/opennews/art.shtml?num=48555
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+13 +/–
Сообщение от Аноним (??) on 06-Май-18, 23:21
Очень сильный костыль, так как аппаратные анклавы intel тоже с уязвимостями...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+3 +/–
	Сообщение от Xasd5 on 07-Май-18, 09:02
	очень костыльный костыль -- так как ядро процессора работает поверх другого ядра, работающего поверх другого ядра. по факту -- исполнять инструкции внутри анклава ни чем не отличается от исполнения инструкций внутри Модуля ядра ОС, в случае если бы мы сказали "а теперь это ядро ОС -- это не Ядро ОС а будем считать что это часть прошивки процессора! а уже вот поверх этого мы напишем ещё одну ОС" то есть -- правильным решением было бы УМЕНЬШАТЬ число наслоенных друг на друга ядер -- а не пооощрять это наслоение.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	18. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним (??) on 07-Май-18, 09:13
	Значит наше старое и провереное решение в виде стек-машины не потеряет актуальность.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+1 +/–
Сообщение от Аноним (??) on 07-Май-18, 00:20
мне одному кажется, что это будет использовано в вирусах в первую очередь
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+11 +/–
	Сообщение от Аноним (??) on 07-Май-18, 01:10
	Нет, в первую очередь эта штука нужна для DRM.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	29. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от twilight (ok) on 07-Май-18, 15:08
	Еще рекламщикам будет хорошо - трекать юзверев
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	30. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Kuromi (ok) on 07-Май-18, 16:38
	В последние годы Гугл, несмотря на свой принцип "Dont be Evil" просто с удовольствием внедряет DRM повсюду. Скажем их Гугль Плей. Кино - DRM, Книги - тотальное DRM от Adobe, да еще такое, что на Линуксе даже и не скачать ничего, только онлайн чтение в Хроме или на планшете. И это притом, что те же самые книги можно купить в другом известном магазине и без DRM. Музыка пока еще без DRM, вероятно исключительно из-за того, что в своё время не предусмотрели в MP3 данной возможности. Про всякое EME, в разработке которого Гугл принимал активнешее участие я даже и не говорю, тут единственный "плюс" что они хотя бы сделали его кроссплатформенным и кроссбраузерным, а не как Adobe со своими книгами.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	31. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним (??) on 07-Май-18, 16:43
	>Музыка пока еще без DRM, вероятно исключительно из-за того, что в своё время не предусмотрели в MP3 данной возможности. Сразу видно эксперта! А какие возможности для DRM предусмотрены, скажем, в форматах из стандарта MPEG4?
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	34. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним (??) on 08-Май-18, 13:29
	> внедряет DRM повсюду. Помнишь, была яхта Победа, но при отплытии зацепилась за корягу, 2 буквы отпало. Вот у гугла тоже отпало Don't.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	41. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от twilight (ok) on 15-Май-18, 10:56
	>> внедряет DRM повсюду. > Помнишь, была яхта Победа, но при отплытии зацепилась за корягу, 2 буквы > отпало. Вот у гугла тоже отпало Don't. Отпало n't всего лишь
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

6. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	–1 +/–
Сообщение от АнонИМышь on 07-Май-18, 00:28
> от саботажа администраторов или доступа третьих лиц, в условиях применения совместно используемых инфраструктур виртуализации и облачных систем. О да! А если виртуализовать этот самый анклав, то он несомненно не будет доступен на хосте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	–3 +/–
Сообщение от Аноним (??) on 07-Май-18, 01:23
Ага замечательная штука, теперь вирусня будет процветать и никакой антивирь её не вылечит!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним (??) on 07-Май-18, 01:46
	"Новый" антивирь от M$, "работающий" на GPU вылечит...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	28. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аниним on 07-Май-18, 14:43
	>теперь вирусня будет процветать и никакой антивирь её не вылечит! И откуда только берутся все эти истеричные паникёры? Не понимают, что к чему, но всё равно визжат.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+1 +/–
Сообщение от L29Ah (ok) on 07-Май-18, 02:11
Даже не знаю, радоваться ли потенциальному решению проблем с spectre или негодовать от грядущего всепоглощающего DRM.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним (??) on 07-Май-18, 03:38
	В Intel SGX есть свои несколько дыр со спектром и боковые аттаки на кеш данных SGX анклав...
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	35. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	–1 +/–
	Сообщение от Аноним (??) on 08-Май-18, 14:29
	>всепоглощающего DRM про денуву так же говорили. А ранее - про старфорс. Все, к чему есть доступ, можно ломануть - было бы желание. Будут пользовать 1.5 копираста - будет работать. Станет популярным - появятся кряки на рутрекере
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	37. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним84701 (ok) on 08-Май-18, 18:13
	> про денуву так же говорили. А ранее - про старфорс. Все, к чему есть доступ, можно ломануть - было бы желание. Будут пользовать 1.5 копираста - будет работать. Станет популярным - появятся кряки на рутрекере Если вы умеете ломать или вам доставляет удовольствие разбираться в принципах "тяжелой" защиты и ее обхода – рад за вас. Но зачем этот геморрой, абсолютно на ровном месте, сдался всем остальным? Starforce и наследники, кстати, уже вроде бы давно "типа" (зелен виноград) не для абсолютной защиты, а чтобы "снять сливки".  Т.е. пара недель или месяц до первого взлома считаются уже хорошим результатом, а потом могут вообще выпустить версию без защиты, чтобы поменьше саппорт загружать. Ну и … не знаю как сейчас, но раньше апдейты  ломать особо не спешили, особенно не  мейнстрима, т.к. ломальщикам это тупо не интересно было. А без апдейтов придется сидеть на первых, забагованных, но зато "крякнутых" версиях или все же ставить ДРМ-блобик. Опять же, обратная совместимость у всего этого ДеРМа обычно никакая –  решишь через десяток лет запустить, а оно начинает ругаться на эмулятор/VM и удачи в поиске кряков и других путей обхода. Но это все почти офтоп. Проблема скорее в том, что если оно станет популярным, то его, возможно, будут использовать все кому не лень --> Flash Resurrected 2.0 или что-то подобное. Нафиг-нафиг такое счастье (как впрочем и "поиск кряков"), нам штеудМЕ пока за глаза хватает.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

13. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+2 +/–
Сообщение от Анонним on 07-Май-18, 07:26
теперь когда наиболее ценные данные будут лежать ровно в одном месте их будет проще стелеметрировать через специальную фичу самого анклава. Ожидайте в будущих релизах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	–1 +/–
Сообщение от Ю.Т. on 07-Май-18, 08:48
Ужасен термин "анклав". Это стандарт или "выход из положения"? Ещё бы "хутор" ))) Разговор-то об изолированной, автономной, но и надёжной, среде исполнения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	23. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+1 +/–
	Сообщение от Аноним (??) on 07-Май-18, 11:44
	Дык ведь и само название достовляет - Asylo )))) (для тех кто в танке, "asylum" - по-английски сумасшедший дом)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	24. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Ю.Т. on 07-Май-18, 12:00
	> Дык ведь и само название достовляет - Asylo )))) (для тех кто > в танке, "asylum" - по-английски сумасшедший дом) Но в оригинале -- "прибежище, убежище".
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	36. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним (??) on 08-Май-18, 16:52
	а vault уже занято хашикорпом?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	33. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Аноним (??) on 07-Май-18, 19:22
	Из фоллаута позаимствовали.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+1 +/–
Сообщение от vitalif (ok) on 07-Май-18, 10:06
Там ключевой момент в том, что в анклав грузится только подписанный интелом код вроде - логично, т.к без этого и анклав бесполезен, иначе можно просто загрузить еще код и сделать все что нужно. Хотя может и так можно будет))). Ну и с подписанием это не фича для безопасности, а очередной бэкдор. Пора бы им уже прекратить в принципе свои ТСЗАП пытаться сделать, все равно же где-то по пути до мозга контент в открытом виде передается...)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	40. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от Vjatcheslav on 15-Май-18, 07:50
	Сейчас вроде в деле построения всяческих нейроинтерфейсов начинают получаться первые небольшие сдвиги. Отсюда масса интереснейших вопросов, которыми можно задаваться сейчас: DRM, реклама, для мозга - какая она будет? Эпидемии мыслевирусов? Шифрование мысли? Будут ли проприетарные, опенсорсные и свободные мысли и/или ощущения? Мыслительная деятельность на рабочем месте - она чья? - фирмы или работника? - должна ли она как то бэкапится, как отделять личные мысли от рабочих? что есть мыслепреступление и мыслеразглашение?.. как регулировать такие технологии применительно к работе с политическим электоратом? что есть мыслесоциальная сеть, группа, сообщество, мыслемодератор, мыслеадмин?;)
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+1 +/–
Сообщение от Вареник on 07-Май-18, 18:46
Полезная фича для вирусов, тракинга пользователя и DRM. 1. Все в специальном месте. Кошелек украсть легче, чем большую сумку. 2. Есть куда класть скрытый от антивиря код.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
Сообщение от Папка Кун on 09-Май-18, 08:33
Странный если убрать букву Т - код, странная система распространения. А интересно во что превратится весь open source, когда наконец Google всех съест???
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	39. "Google анонсировал Asylo, универсальный фреймворк для защищё..."	+/–
	Сообщение от X4asd (ok) on 12-Май-18, 15:43
	производя херату типа вот этого фреймворка для анклавов -- гугл явно отдаляется от того чтобы всех есть. скорее здесь мы имеем здесь лишь нонсенс который случайно был расценят журналистом как WOW-эффект
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема