技术门槛高？来看 Intel 机密计算技术在龙蜥社区的实践

编者按：龙蜥社区云原生机密计算 SIG 定位于云原生机密计算底层基础设施，专注于机密计算底层技术。在阿里巴巴开源开放周中， 龙蜥社区机密计算 SIG Maintainer、Intel 产品安全专家张顺达分享了《Intel 机密计算技术在龙蜥社区的实践》，帮助开发者龙蜥社区机密计算 SIG，以及 Intel 在 SIG 当中的工作和进展。以下为本次分享内容：

一、龙蜥社区云原生机密计算 SIG 背景介绍

机密计算通过在基于硬件的可信执行环境（TEE）中执行计算的方式来保护使用中的数据。 这些安全的、隔离的环境可防止对使用中的应用程序和数据进行未经授权的访问或篡改，从而提升相关组织在管理敏感数据和受监管数据方面的安全级别。TEE目前流行的技术有 Intel 的SGX、TDX，AMD 的 SEV 及 ARM 的 TrustZone 等等。

当前，Intel 在龙蜥社区主要提供了 SGX 和 TDX 支持，以及在 SGX 和 TDX 上构建的运行时虚拟机以及容器等一些列机密计算应用。

英特尔软件防护扩展（Intel Software Guard Extensions，SGX）是一组安全相关的指令，它被内置于一些现代 Intel 中央处理器（CPU）中。它们允许用户态将特定内存区域设置为私有区域，此区域也被称作飞地（Enclaves）。其内容受到保护，不能被用户应用本身以外的任何进程存取，包括以更高权限级别运行的进程。

CPU 对受 SGX 保护的内存进行加密处理。受保护区域的代码和数据的加解密操作在 CPU 内部动态（on the fly）完成。因此，处理器可以保护代码不被其他代码窥视或检查。SGX 使用的威胁模型如下：Enclaves 是可信的，但 Enclaves 之外的任何进程都不可信（包括操作系统本身和任何虚拟化管理程序），所有这些不可信的主体都被视为有存在恶意行为的风险。Enclaves 之外代码的任何代码读取受保护区域，只能得到加密后的内容，由于 SGX 不能防止针对运行时间等侧信道信息的测量和观察，所以在 SGX 内部运行的程序本身必须能抵抗侧信道攻击。

SGX 被设计用于实现安全远程计算、安全网页浏览和数字版权管理（DRM）。其他应用也包括保护专有算法和加密密钥。英特尔® Trust Domain Extension （TDX） 正在推出新的架构元件，以帮助部署称为信任域 （TD）的硬件隔离虚拟机 （VM）是 SGX 的下一代产品。