- 综合排序
- 最热优先
- 最新优先
- 来自专栏用户9199536的专栏
System|隔离|Enclave&TEE&Attack
每个slice除了一开始可见的页表之外 禁止修改CR3(source code) 禁止修改页表(readonly) Hardware - Enclave & TEE TEE是相对于REE而言的,其中运行独立的操作系统 Enclave Enclave的作用就是,提供一个严格的加密内存,这个内存只有持有秘钥的应用能访问,里面存放代码或者数据,而OS/VMM即使拥有更高的权限,依然被阻挡在外。 最新的Enclave都有着各种分区隔离机制,有的是用chunk实现,还有的使用Page Table实现,这里略。
62220发布于 2021-11-22 - 来自专栏FreeBuf
黑匣子开启:iOS Secure Enclave 固件解密密钥首度“被”公开
时至今日,关于 Secure Enclave 的公开信息也为之甚少,也许此次的密钥公开是一窥究竟的契机? ? 正如《iOS 安全指南》所述,Secure Enclave 实际上是苹果对其 A 系列处理器中某个高度机密的称呼,按照 TEE 标准,现在的处理器都包含“普通世界”和“安全世界”两部分,Secure Enclave 苹果在指南中表示,由于 Secure Enclave 与 iOS 其他部分分离,即使内核受到威胁也能保持其完整性。 iOS 中 Secure Enclave 密钥公开不会泄漏数据,而是帮助安全研究? 而现在密钥的公开能够将让研究人员以及攻击者接触到神秘的 Secure Enclave 固件,也可能帮助发现其中的安全漏洞,并深入了解 Secure Enclave 的运行情况。
1.7K60发布于 2018-03-01 - 来自专栏CNCF
KubeTEE = Kubernetes + TEE
HyperEnclave:提供统一的Enclave抽象 我们一开始就提到市场上目前有多种Enclave硬件平台。这些Enclave各有特点,但也给开发者带来了较大的学习负担。 作为这些硬件的用户,我们其实希望有一个统一的Enclave抽象。另外,我们也希望能对Enclave的启动和证明有更多的控制,能一定程度上抵御困扰硬件Enclave的侧信道攻击。 这个Hypevisor支持创建Enclave虚拟机。Enclave虚拟机支持传统机密计算SDK提供的分割式编程模型。Enclave虚拟机也支持利用Occlum将整个应用运行在Enclave里面。 ? 首先我们需要让Kubernetes能够认识Enclave硬件,将enclave暴露给容器,监控Enclave资源,并处理Enclave特有的事务比如远程证明等等。 基于KubeTEE,用户可以使用kubernetes的工作流程来轻松管理机密计算集群,部署Enclave服务,使用Enclave中间件等等。
1.9K10发布于 2021-01-12 - 来自专栏月梦·剑心的技术专栏
Innovative Technology for CPU Based Attestation and Sealing论文翻译
®SGX为Enclave实例提供了向平台请求Enclave’ identity的安全断言的方法。 Intel®SGX为Enclave实例提供了验证来自同一平台上其他Enclave实例的断言的方法。 Intel®SGX为远程实体提供了验证来自Enclave实例的断言的方法。 Intel®SGX允许Enclave实例获取绑定到平台和Enclave的密钥。 2.1 MRENCLAVE - Enclave Identity “Enclave Identity”是MRENCLAVE的值,它是内部日志的SHA-256[2]摘要,记录了在构建Enclave时所做的所有活动 这个字段将enclave内的数据绑定到enclave的identity(如REPORT中所述)。
62130编辑于 2023-08-31 TrustFlow 可信执行环境之 Intel SGX TEE 方案
EnclaveSGX最重要的核心概念是Enclave(飞地),Enclave可以被视为进程中安全可信的部分,其中运行的程序和数据的机密性和完整性受到SGX的保护。 (SMM),BIOS等都无法访问Enclave,从而避免Enclave被恶意攻击。 下图中黄色部分表示了Enclave。从图中我们可以看到,在标准的SGX模型下,应用被分为可信和不可信两部分,可信部分为Enclave,非可信部分为运行在外面的代码和数据。 关于Enclave的更详细介绍,可以阅读SGXEnclave.Enclave身份标识-MRENCLAVE和MRSIGNER每个Enclave都具有两个与其绑定的身份标识。 SGX的远程认证可以对以下内容进行验证:Enclave运行在SGX内部Enclave运行在具有最新安全级别的系统上Enclave的代码通过远程认证,用户可以确保enclave运行环境是可靠的,且运行的代码未被篡改
20310编辑于 2025-12-19- 来自专栏LINUX阅码场
Linux阅码场 - Linux内核月报(2020年07月)
Enclave本身 – 一个与产生他的主虚拟机运行在同一主机上的虚拟机。从主虚拟机里分割出来给Enclave使用的内存和CPU是Enclave专用的。 Enclave需要至少64 MiB的内存。而且Enclave所使用的内存和CPU都必须来自同一个NUMA节点。 Enclave运行在它专用的CPU核心上. 在Enclave虚拟机中运行的应用程序需要和OS(内核,ramdisk,init程序)一起被打包成Enclave镜像。Enclave虚拟机拥有它自己的内核,并且遵守Linux标准启动协议。 可以用来检查我们加载到Enclave虚拟机里运行的镜像是不是我们想要运行的那个Enclave镜像,它有没有损坏或者被篡改等。 Enclave的镜像(EIF)会被加载到Enclave虚拟机内存的第一个8MiB偏移的位置。
1.9K20发布于 2020-08-13 - 来自专栏FreeBuf
刷屏的iPhone硬件漏洞,对普通用户几乎无影响
从iPhone 5c甚至更早版本的iPhone开始就缺少Secure Enclave。如果用户放弃对手机的访问权限,专门的攻击者可以提取用户的iPhone PIN。 但是,带有Secure Enclave的手机(包括iPhone 5s及更高版本)不会因此受到攻击。 ? 据发布者axi0mX,“在2013年苹果推出Secure Enclave和Touch ID之前,手机没有高级安全保护,比如iPhone 5c就没有Secure Enclave。 但是对于从iPhone 6到iPhone 8的当前大多数手机,都有一个Secure Enclave,可以在没有PIN的情况下保护用户数据。” “Checkm8漏洞根本不会影响Secure Enclave,它只可以在设备上执行代码。设备受单独系统的保护,无法利用漏洞启动PIN。但对于比较过时的版本则没有单独的系统。” ?
67300发布于 2019-10-10 - 来自专栏安智客
iPhone能用公交卡了,细节全在白皮书里!
Secure Enclave 为数据保护密钥管理提供所有加密操作,即使在内核遭到入侵的情况下,也可维护数据保护的完整性。 Secure Enclave 与应用程序处理器之间的通信被隔离到一个中断驱动的信箱以及共享的内存数据缓冲区。 Secure Enclave 运行的是 L4 微内核系列的 Apple 定制版本。 Face ID与Touch ID一样在Secure Enclave进行数据处理。 处理器将数据转发到 Secure Enclave,但处理器本身无法读取这些数据。 在T1,S2,S3和A9或更高版本的A系列处理器上,每个Secure Enclave生成自己的UID(唯一ID)。
1.1K150发布于 2018-04-19 - 来自专栏安智客
Intel芯片架构中TEE的实现技术之SGX(三)开发环境简介及搭建
SGX利用处理器提供的指令,在内存中划分处一部分区域(EPC)并将应用程序地址空间中的Enclave映射到这部分内存区域。这部分内存区域是加密的,通过CPU中的内存控制单元进行加密和地址转化。 当处理器访问Enclave中数据时,CPU自动切换到一个新的CPU模式,叫做enclave模式。enclave模式会强制对每一个内存访问进行额外的硬件检查。 Enclave Page Cache (EPC)是指一个保留加密的内存区域。Enclave中的数据代码必需在其中执行。为了在EPC中执行一个二进制程序,SGX指令允许将普通的页复制到EPC页中。 图 4Visual Studio新建出现Intel SGX Enclave Project的选项 至此, 我们已经完成了Windows下SGX应用开发环境的搭建。在下一个部分,我们将从Hello World 程序开始学习 SGX enclave程序的开发。
3.8K70发布于 2018-02-24 - 来自专栏安智客
Intel芯片架构中TEE的实现技术之SGX初探
Guard Extensions)是一项面向应用程序开发人员的英特尔技术。英特尔从第 6代英特尔® 酷睿™ 处理器平台开始引入了英特尔软件防护扩展新指令集,使用特殊指令和软件可将应用程序代码放入一个enclave 中执行。 Enclave可以提供一个隔离的可信执行环境,可以在BIOS、虚拟机监控器、主操作系统和驱动程序均被恶意代码攻陷的情况下,仍对enclave内的代码和内存数据提供保护,防止恶意软件影响enclave 内的代码和数据,从而保障用户的关键代码和数据的机密性和完整性。 苹果安全机制中也有enclave的技术提法,下次再单独讨论下。 从上图中可以看出,在需要保护的关键数据和秘钥的enclave中能够防御通过各种各样的攻击,黑客手段、恶意代码植入,底层攻击等等。
3K80发布于 2018-02-24 - 来自专栏大数据-BigData
Occlum简介
Occlum提供轻量级LibOS流程:它们是轻量级的,因为所有LibOS流程共享同一个SGX enclave。 与重型、per-enclave的LibOS进程相比,Occlum的轻型LibOS进程在启动时最高快1000倍,在IPC上快3倍。 // Enclave signature structure's ISVPRODID field "product_id": 0, // Enclave signature /sgx_enclave enclave && ln -sf .. 是否在release模式下运行应该由可信的客户端通过远程验证Enclave来检查和判断。
3.8K10编辑于 2022-01-19 - 来自专栏佳爷的后花媛
Three Paper Thursday: What’s Intel SGX Good For?
Then there were concerns about the mandatory agreements required to publish enclave code in production Each node requests a timeout from its SGX enclave using a trusted function. 2. within the enclave. The enclave contains a Hekaton in-memory database along with a set of compiled queries. surface by not requiring a general query processor to be loaded into the enclave.
81820发布于 2020-05-14 - 来自专栏宗恩
蚂蚁集团宣布云原生大规模集群化机密计算框架 KubeTEE 开源
其中,Intel 软件防护拓展(Software Guard Extensions,简称 SGX)是目前商用 CPU 中最为先进的 TEE 实现,它提供了一套新的指令集使得用户可以定义称为 Enclave CPU 保证 Enclave 与外界隔离,从而保护其中的代码和数据的机密性、完整性和可验证性。 由于 SGX 的先进性,目前云端机密计算领域甚至已公认用 Enclave 这个词来指代 TEE。 概括来说,他们希望以一种更加云原生的方式来使用 Enclave 和机密计算集群资源。 提供基于 Enclave Container 的业务部署能力,基础设施运维和业务无感知升级等能力; 提供 Serverless 机密计算服务,基于通用的机密计算资源池支持业务服务; 基于通用的机密计算组件
98210编辑于 2023-05-09 - 来自专栏ROS2
你的机器人安全吗之SROS介绍
ros2 security generate_policy test_policy.xml 生成的文件内容如下: <policy version="0.2.0"> <enclaves> <enclave 或者也可以直接修改加密策略文件中的<enclave path="/">来设置enclave的名称。e选项的内容最好定义在xml文件中。 当加密策略文件变动时,就需要重新生成加密文件。 <policy version="0.2.0"> <enclaves> <enclave path="/listener_talker"> <profiles> -- 新增内容,支持ros2 命令行工具 --> <enclave path="/"> <profiles> <profile node="_ros2cli" ns= Create enclave create_key DEPRECATED: Create enclave.
1K70编辑于 2022-08-17 - 来自专栏安智客
微软将为Linux 操作系统带来TEE的支持
目前机密计算联盟主要是通过提供一个用于构建和签名受硬件保护的受信任应用程序的SDK---open enclave SDK。 TEE通过一个专门的执行环境 Enclave 来有效防范针对操作系统、固件、驱动等底层软件对战的攻击,减轻内部恶意人员或是未经授权的第三方泄漏资料的风险。 Keystone: Open-source Secure Hardware Enclave 是 MIT 和 UC Berkeley 在2018年初联合启动的一个开源计划,准备建立一个支持硬件隔离运行空间的可信执行环境 他们认为,在enclave方案中,当前已经有商业实现,比如Intel的SGX和ARM的TrustZone,但由于其封闭性生态并没有大规模应用,在安全风险方面也存在无法有效审计的问题。 https://github.com/keystone-enclave
2.1K20发布于 2019-09-24 - 来自专栏FreeBuf
破解iPhone竟然是为了公众安全?
Point3 Security网络解决方案主管Ryan Duff表示,他认为Cellebrite必定在苹果的Secure Enclave中发现漏洞。 从5S开始,Secure Enclave就是所有iPhone上的芯片,基本上可以管理iPhone上的许多安全方面,特别是加密密钥。 Secure Enclave还让其他人猜测密码的时间更长,尝试次数越多,等待下一次尝试的时间就越长。例如,在九次尝试密码失败之后都必须再等一小时才能再次尝试。 Duff是美国网络司令部的前网络作战策略师,他表示任何破解都可能不得不需要禁用那些Secure Enclave特征以达到更快的暴力强制。 Duff指出,这是因为,与Secure Enclave分开,每个密码猜测需要花费80毫秒。
88380发布于 2018-03-22 - 来自专栏Ethereum
使用 ethereum-package 部署以太坊POS节点
$ kurtosis version二、部署默认配置的以太坊网络启动单节点测试链undefined使用默认配置快速启动一个本地以太坊网络(包含执行层和共识层客户端):$ kurtosis run --enclave 运行自定义配置 $ kurtosis run --enclave my-testnet github.com/ethpandaops/ethereum-package --args-file network_params.yaml 七、清理资源$ kurtosis enclave rm -f my-testnet # 删除整个环境$ kurtosis clean -a # 清理所有资源注意事项云环境部署
51200编辑于 2025-03-24 - 来自专栏安智客
基于TEE的共享学习:数据孤岛解决方案
SGX通过提供一系列CPU指令码,允许用户代码创建具有高访问权限的私有内存区域(Enclave - 飞地),包括OS,VMM,BIOS,SMM均无法私自访问Enclave,Enclave中的数据只有在CPU 同时,Intel还提供了一套远程认证机制(Remote Attestation),通过这套机制,用户可以在远程确认跑在Enclave中的代码是否符合预期。 该框架与传统分布式框架不同的地方在于,每个服务启动时会到集群管理中心(ClusterManager,简称CM)进行注册,并维持心跳,CM发现有多个代码相同的Enclave进行了注册后,会通知这些Enclave 进行密钥同步,Enclave收到通知后,会通过远程认证相互确认身份。 当确认彼此的Enclave签名完全相同时,会通过安全通道协商并同步密钥。
4.1K20发布于 2019-09-24 - 来自专栏Python数据科学
共享学习:蚂蚁金服提出全新数据孤岛解决方案
SGX 通过提供一系列 CPU 指令码,允许用户代码创建具有高访问权限的私有内存区域(Enclave - 飞地),包括 OS,VMM,BIOS,SMM 均无法私自访问 Enclave,Enclave 中的数据只有在 同时,Intel 还提供了一套远程认证机制(Remote Attestation),通过这套机制,用户可以在远程确认跑在 Enclave 中的代码是否符合预期。 Enclave 进行密钥同步,Enclave 收到通知后,会通过远程认证相互确认身份。 当确认彼此的 Enclave 签名完全相同时,会通过安全通道协商并同步密钥。 用户在 Data Lab 的训练平台进行训练任务的构建 训练平台将训练任务下发到训练引擎 训练引擎启动训练相关的 Enclave,并从云端存储读取加密数据完成指定的训练任务。
1.2K30发布于 2019-08-19 - 来自专栏安智客
从诺基亚 X6 聊人脸解锁:安全基础是TEE
典型如苹果的 Secure Enclave 参与 iOS 的安全启动过程,而且每一代 SoC 的迭代也伴随 Secure Enclave 的加强,如最新的 A11 中,会有个 integrity tree 这部分有点绕:就 iPhone 而言,Touch ID 是几乎直接和处理器的 Secure Enclave 进行通讯的。 实际上 Touch ID 传感器的光栅扫描结果首先会临时存储在 Secure Enclave 的专用存储区间内。 最后转往 Secure Enclave 的数据实际上是一系列的脸部 2D 和深度图。诸多 2D 图像和深度图的顺序是随机化的。 处理器 Secure Enclave 随后会把这些图像转成某种数据形式,随后的人脸识别匹配过程自然也是在 Secure Enclave 中进行的。
2.3K40发布于 2018-07-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号