共计 2086 个字符,预计需要花费 6 分钟才能阅读完成。
文 / 云原生秘密计算 SIG
秘密计算是一种依赖于硬件的应用中数据保护技术。芯片厂商通过提供非凡的硬件指令、受爱护的加密内存区域等伎俩,辅以基于硬件的密钥治理和密码学操作,为应用中的数据提供了一个受爱护的可信编程环境,通常称之为可信执行环境(Trusted Execution Environment,简称 TEE)。
利用最底层硬件所能提供的安全性,在放弃最小信赖依赖的状况下,秘密计算技术能够将操作系统和设施驱动程序供应商、平台和设施供应商、服务提供商及系统管理员从用户须要信赖的实体列表中移除,从而大大降低了可信计算基(TCB, Trusted Computing Base)的大小。龙蜥社区为推动秘密计算技术的利用,提供若干秘密计算翻新我的项目,目标是升高秘密计算技术的应用门槛。
技术计划
JavaEnclave
JavaEnclave(Teaclave Java TEE SDK)是一个面向 Java 生态的 Host-Enclave 秘密计算编程框架,与 Intel SGX SDK 和 OpenEnclave 具备雷同的编程模型。它提供了一个 Pure Java 的秘密计算开发界面和构建工具链;创新性地采纳 Java 动态编译技术,将 Java 敏感代码编译成 native 包并在 SGX 环境下运行。在保障秘密计算极致平安的同时,将秘密计算开发生态从 C/C++ 扩大到 Java,极大升高了秘密计算利用的开发与编译构建门槛,晋升了开发效率与用户体验。
目前 JavaEnclave 曾经在 Apache 开源社区开源并更名为 Teaclave Java TEE SDK,作为 ApacheTeaclave 孵化我的项目的一个子项目持续倒退。JavaEnclave 将立足龙蜥社区云原生秘密计算 SIG 生态,反对更多操作系统和 TEE 硬件平台,排汇社区宽广开发者的反馈意见和奉献,继续改良并不断完善性能个性。
Occlum
Occlum 是基于 Intel SGX 实现的一套轻量级的具备内存平安的 LibOS,大大简化了 SGX 利用开发的难度。应用 Occlum 后,用户的工作负载只须要批改极少量(甚至无需批改)源代码即可在 Intel SGX 上运行,以高度通明的形式爱护用户数据的机密性和完整性。
今年年底行将公布的 Occlum v1.0 版本利用了 SGX 的 EDMM(Enclave 动态内存治理)个性,大大降低了利用运行于 Enclave 的适配难度,以及晋升了 Enclave 里利用的启动速度和内存相干性能。
RATS-TLS
RATS-TLS 设计了一种反对异构硬件秘密计算技术的双向传输层平安协定,它在 TLS 的根底上减少了将 TLS 中的公钥与 TEE 近程证实 Evidence 绑定的能力,解决了不同 TEE 之间难以通过平安可信的形式传输数据的问题。
从 RATS-TLS 我的项目衍生出的新我的项目 librats 曾经反对多家支流芯片厂商的近程证实认证格局,并容许异构 TEE 之间进行双向近程证实认证。librats 曾经反对最新定义的 TCG DICE Evidence 扩大,并打算捐献给 CCC(秘密计算联盟,Confidential Computing Consortium)。
SGX 虚拟化
SGX 虚拟化容许将 SGX 硬件能力透传给虚拟机和容器,以容许用户将敏感工作负载运行在基于 Intel SGX Enclave 的 TEE 中。
目前 SGX 虚拟化已反对 Anolis OS 8,可为云上用户提供基于 Intel SGX Enclave 技术的利用级平安防护能力。
CCZoo
Intel 发动并开源了 Confidential Computing Zoo (CCZoo)。CCZoo 提供了不同场景下各种典型端到端平安解决方案的参考案例,加强用户在秘密计算计划实现上的开发体验,并疏导用户联合参考案例疾速设计满足本人需要的秘密计算解决方案。
CCZoo 目前提供了基于 LibOS Gramine + Intel SGX + OpenAnolis 容器的 E2E 平安解决方案参考案例,其中包含在线推理服务和横向联邦学习等。后续,CCZoo 打算基于 OpenAnolis,提供更多的秘密计算参考案例,为用户提供相应的容器镜像,实现麻利部署。
Intel HE
Intel 提供了对于同态加密技术的全栈式反对,包含一系列工具套件和减速库,如 Intel HE Toolkit、Intel HE Acceleration Library (Intel HEXL)、Intel Paillier Cryptosystem Library (IPCL),以及规范的性能测试基准 Homomorphic Encryption Benchmarking Framework (HEBench)。
更多龙蜥白皮书精选内容,点击这里查看。
相干链接:
云原生秘密计算 SIG 主页:https://openanolis.cn/sig/coco
更多龙蜥技术个性解析可移步《龙蜥个性百科》:https://anolis.gitee.io/anolis_features/
2022 龙蜥社区全景白皮书(或公众号【OpenAnolis 龙蜥】回复关键字“白皮书”获取)https://openanolis.cn/openanoliswhitepaper
—— 完 ——