8 предназначений Intel Software Guard Extensions
Одной из функциональных новинок, появившихся в процессорах Intel Core шестого поколения (Skylake), стала технология Intel Software Guard Extensions (Intel SGX). Легко убедиться гуглением, что информации о ней в интернете не так много. Мы решили восполнить этот пробел, тем более что под рукой у нас оказалась статья одного из разработчиков этой технологии, Мэтью Хойкстра (Matthew Hoekstra); в ней он описывает цели, которые преследует Intel SGX. Приводим ее перевод.
Если говорить о сути, то Intel SGX – это набор новых инструкций процессора, которые могут использоваться приложениями для выделения приватных областей кода и данных. Создавая эту технологию, мы преследовали следующие цели.
Цель 1. Позволить разработчикам приложений защитить чувствительные данные от несанкционированного доступа или изменения со стороны зловредного ПО, запущенного с более высокими привилегиями.
Хотел бы выделить в этом пункте несколько принципиальных моментов. Первое, защита чувствительных данных подразумевает обеспечение и их конфиденциальности (предотвращение утечек), и целостности (защита от подделок). Второе, защищать необходимо не только данные, но и код (например, атакующий может легко получить доступ к данным, изменив или отключив авторизацию). Третье, данные должны быть защищены не только когда они хранятся в зашифрованном виде, но и во время рантайма, когда они не зашифрованы и активно используются для вычислений. Наконец, критически важно обеспечить защиту рантайма против вредоносного ПО, обошедшего систему контроля привилегий с целью получить более высокий уровень прав.
Цель 2. Позволить приложениям обеспечивать конфиденциальность и целостность чувствительных данных и кода, не вмешиваясь в работу системы контроля привилегий, не мешая ей планировать и контролировать ресурсы платформы.
Чувствительные данные и код должны быть защищены от вредоносного ПО запущенного с высоким уровнем прав, однако в то же время система контроля привилегий должна постоянно делать свою работу, мешать ей нельзя. Недопустимо, чтобы защищаемые приложения брали на себя или нарушали базовую функциональность системы, такую как планирование задач, управление устройствами и т.д. Операционные системы развивались много лет, чтобы хорошо выполнять эти задачи, и создавать параллельную им сущность было бы непрактично.
Цель 3. Позволить пользователям компьютерных устройств держать над ними контроль, в то же время предоставляя свободу устанавливать и удалять приложения и сервисы.
Работа доверенного приложения не должна требовать каких-то специфических конфигураций и не должна ограничивать контроль пользователя над его компьютером. Обычной практикой обеспечения защиты сегодня является жесткое ограничение набора приложений, которое может быть загружено на платформу. В игровые приставки, смартфоны и т.д. сейчас обычно встроена специализированная операционная система, которая накладывает различного рода ограничения на доступность и поведение приложений, дабы не допустить проблем с безопасностью.
Корпоративное использование устройств может налагать еще более строгие дополнительные ограничения (например, на подключения USB-накопителей). В принципе, в этих мерах нет ничего плохого, но они не должны быть обязательными для обеспечения конфиденциальности и целостности данных. Это условие становится еще более очевидным, если мы будем говорить о персональном ПК, где необходимость в доверенном окружении так же велика, как и потребность в персонализации.
Цель 4. Позволить платформе измерять доверенный код приложения и производить с помощью процессора подписанный аттестат, который включает в себя это измерение и прочие сертификаты, удостоверяющие, что код был корректно инициализирован в доверенной среде.
Разрешая пользователю контролировать ПО на платформе, мы порождаем проблему доверенной доставки приложений. Как кто-либо может быть уверен, что платформа обладает всеми необходимыми примитивами для поддержки доверенных вычислений, которые требуются приложению, или что установленное приложение не было подделано? Или, говоря другими словами, как приложение может доказать, что оно доверенное?
Чтобы определить, было ли приложение корректно загружено и инициализировано, можно сравнить подпись приложения (криптографический хэш его отпечатка памяти в заранее заданной точке исполнения) с ожидаемым значением, полученным из считающейся доверенной системы – это называется измерением приложения. Чтобы подтвердить свое происхождение, измерение подписано приватным ключом, известным только доверенной системе, которая производит измерение.
Отметим, что разработчики не могут полагаться на вычисления, делаемые программно системой; как говорилось ранее, ПО всегда можно виртуализировать или обмануть с помощью вредоносной программы, имеющей достаточный уровень привилегий. Таким образом, вычисление должно быть аппаратным и исполняться тем же компонентом, которое создает доверенную среду, загружает/инициализирует доверенное приложение и осуществляет вычисление чувствительных данных.
Цель 5. Позволить разработчикам создавать доверенные приложения с использованием известных им средств и процессов.
Первые 4 цели обеспечивают преимущества более закрытой среды путем уменьшения набора сущностей, которые должны быть доверенными, при этом платформы остаются открытыми а выбор пользователя – свободным. Однако из этого не следует, что процесс разработки ПО останется неизменным. Например, если выяснится, что разработчикам придется кардинально менять свои процессы или они будут вынуждены писать софт под проприетарный контроллер безопасности, продуктивность процесса значительно уменьшится.
Цель 6. Позволить производительности доверенных приложений увеличиваться с ростом производительности процессоров.
Эта цель вырастает из идеи минимализации влияния на существующий процесс разработки ПО. Одной из движущих сил этого процесса состоит в том, что разработчики пытаются получить максимум преимуществ от увеличивающейся производительности процессора. Было бы здорово, если бы доверенные приложения не имели проблем с производительностью по сравнению с прочими.
Цель 7. Позволить производителям ПО распространять и обновлять приложения, используя наиболее удобные для них способы.
Если предлагаемое решение требует, чтобы независимые создатели ПО тесно работали с производителями платформ с целью предустановить их приложения в момент производства платформы или же обновления ПО могут быть установлены только вместе с обновлением системы, это также будет помехой созданию инновационных продуктов.
Цель 8. Позволить приложениям определять защищенные области кода и данных, которые содержат конфиденциальность, даже в том случае, если атакующий физически контролирует платформу и может производить прямые атаки на ее память.
Эффективное решение должно обеспечивать защиту от различных типов аппаратных атак, включая и те случаи, когда платформа физически находится в распоряжении врага. Исследователи Принстонского университета демонстрируют одну из таких атак. Возможны и другие варианты с использованием анализаторов шины памяти или подобных техник.
What is Intel SGX and What are the Benefits?
Home » Security » What is Intel SGX and What are the Benefits?
Intel Security Guard Extensions (SGX) became available with the Skylake processor family. Intel SGX aims to provide an additional security layer that prevents malicious software execution even with admin privileges.
Employing the SGX model in your infrastructure, be it on-premises, public, private, or hybrid cloud, creates a trusted environment for processing sensitive data. PhoenixNAP Bare Metal Cloud offers a range of servers with SGX support.
This article will explain what Intel SGX is, how it works, and its benefits. We’ll also show you how to choose a CPU that supports SGX when deploying a BMC server.

Requirements for Using Intel SGX
There are a few requirements for using SGX applications in your infrastructure:
- Your machine needs to have an Intel CPU that supports Intel SGX.
- The BIOS must have an option to enable SGX.
- The Intel SGX option must be set to Enabled or Software Controlled in BIOS, depending on the system. PhoenixNAP BMC servers have this option already enabled.
- You must Install the Intel SGX Platform Software package.
What is Intel SGX (Software Guard Extensions)?
Intel created Software Guard Extensions to improve data protection and enhance application code security. This CPU-based defense system allows applications to run in private memory space. Therefore, the exposure to inside and outside attacks at runtime is minimal.
Intel SGX allows developers to use CPU instructions to increase access control to:
- Prevent data modification and deletion.
- Prevent data disclosure.
- Enhance code security.
This instruction set of SGX-capable CPUs lets you encrypt portions of memory to guard valuable and sensitive data.

Such an environment provides a safe space for secrets when other parts of the infrastructure are compromised. This includes BIOS, firmware, root access, virtual machine manager, etc. When an application is protected with Intel SGX, its operation and integrity are unaffected in case of an attack.
The most sensitive data remains inaccessible to any process or user no matter the permission level. The reason is that an application runs inside a trusted memory segment that other processes cannot access.
What is SGX Enclave?
Enclaves are isolated areas of memory with sensitive application data protected by the CPU. The code and data in these memory regions are reachable only within the enclave. Using the Intel SGX SDK, developers create an instruction set to reserve a part of physical memory for this safe environment.
When you run an application inside an enclave, the CPU instantly encrypts it and stores the key. Since the key is inside the CPU, an attacker cannot obtain it by inspecting the system memory.
How Secure are Enclaves?
Enclaves are extremely safe environments for working with data. Access control is imposed inside these trusted memory parts, and not even physical access is sufficient to get hold of the protected data.

What makes enclaves secure is the automatic hardware encryption. The SGX technology uses the CPU to encrypt the information and store the key inside it. Hence, an external party cannot acquire the key and compromise the data. This means that not even the cloud provider can gain access.
Moreover, once the application exits or instructs the destruction of an enclave, all the information is lost with it.
How Does Intel SGX Work
When developing an Intel SGX application, the programmer can choose what to enclave. Every SGX application has two parts:
- Untrusted part
- Trusted part
The untrusted part is responsible for the enclave creation and system-wide communication. From here, an application calls only the specific trusted functions to access the data.
The trusted part stores the enclave created for processing sensitive data. The code and data are shown in clear text exclusively inside the enclave. The data that a trusted function returns stays in this secure memory area. The CPU rejects all external requests, and the enclave remains protected.
The application then resumes working in the untrusted part where it no longer has the insight into the sensitive data.

The application part that receives the secured data is in the untrusted section. An application can store the data outside the enclave once the CPU encrypts it. The encryption key stays in the enclave that contains the decrypting code and necessary algorithm. Therefore, the decryption is only possible on the same system where the data was sealed.
When to Use Intel SGX?
Intel SGX is an excellent tool for any context where confidential computing is a must. As this technology is native to the SGX-enabled CPUs, anyone who needs an additional security layer can use it.
Any industry can take advantage of the SGX capabilities, not only IT:
- Finance and Insurance and social care
- Military
- Commerce
Since the data is protected while in use, Intel SGX is suitable for sharing information across multiple organizations. This model improves the control over which data to share, who can see it, for how long, and for what purpose.
Intel SGX Supported CPU
Starting with the Xeon scalable processors released from the 3rd quarter 2015 onward, all server processors support Intel SGX. Some of them are:
- Intel® Xeon® E-2288G
- Intel® Xeon® Gold 6326
- Intel® Xeon® Platinum 8352Y
Additionally, most desktop and mobile devices with 6th generation Intel Core CPUs support SGX.
To check which Intel CPUs use SGX, refer to the Intel product search page. In the Choose a Filter drop-down menu, scroll down and select Intel® Software Guard Extensions (Intel® SGX).

Note: The system BIOS also needs to support Intel Software Guard Extensions.
How to Choose a CPU with SGX Support in the BMC Portal
1. Log in to the BMC portal.
2. Click the Deploy New Server button.
3. Locate the server with the Intel SGX logo in the Server section. Use the Intel SGX filter to narrow down the list.

4. Complete the process as with any other BMC server.
How to Enable Intel SGX in BIOS?
Note: Bare Metal Cloud servers. have Intel SGX enabled for you. No additional steps are necessary from your side to enable Intel SGX on our servers.
If a CPU and system BIOS support Intel SGX, then you can enable it. Use the corresponding key to enter the BIOS, depending on the manufacturer.
These are the possible SGX settings in BIOS:
- Disabled. The default setting for the Intel SGX option. In this mode, applications cannot enable SGX.
- Enabled. Applications can use Intel SGX. Makes sure the PRMRR configuration is correct for your system.
- Software Controlled. Allows an application to instruct BIOS to enable SGX automatically.
In some UEFI BIOS interfaces, the SGX is located under Advanced -> CPU configuration.

Some legacy BIOS interfaces have the Intel SGX option in the Configuration menu.

Should I Disable SGX?
The Intel SGX option is usually disabled by default. You can leave the settings at the default values. However, if you are using SGX applications, you must not disable this option in BIOS.
On the other hand, when the SGX option is enabled in BIOS, and you do not use SGX Applications or do not intend to, the feature may be disabled.
Intel SGX Benefits
There are many benefits to using Intel Software Guard Extensions. The obvious one is the increased security of sensitive and mission-critical data.
With Intel SGX, the information that needs to be verified can reside on the machine instead of sending it to a remote server. This includes biometric and other authentication data. Intel SGX protects from advanced threats that compromise BIOS, system components, and user profiles with root permissions.
Furthermore, data sealing provides the necessary protection of intellectual property even outside enclaves. The key for decoding the confidential data is in the trusted memory so that external access is blocked.
This model allows seamless horizontal scaling. As business demands rise, new machines can join the pool without disruption. Before becoming a part of the trusted server cluster, the nodes are verified to have the proper security level.
Note: To learn everything you need to know about Bare Metal Cloud, refer to our article What is Bare Metal Cloud.
The article explained the Intel SGX model, its main functionality, and showed how to tell if a CPU supports it.
To start using a server with full Intel SGX support, create a BMC account and choose your configuration.
Технология Intel Software Guard Extensions в картинках

Кольца защищенного режима разделяют привилегированный код ядра и код приложений, а также отделяют приложения друг от друга. Однако при этом приложения не защищены от атак со стороны привилегированного кода. Зловредное приложение может проникнуть в него с помощью эксплойта и затем внедриться в беззащитную жертву. При этом участок для атаки очень широк: нападать можно и на компоненты ОС, и на само приложение, и даже на аппаратную подсистему.

Смысл SGX состоит в том, чтобы сузить периметр защиты, разместив все критически важные данные в отдельных областях-анклавах, недоступные даже из кода ядра. При этом, однако, не должен коренным образом изменяться процесс разработки и среда, где исполняется приложение.

Приложение состоит из двух частей: доверенного и общего. При запуске оно создает анклав в защищенной части памяти, состоящий из страниц размером 4 Кб. При вызове доверенной функции она видит данные анклава, любой другой внешний доступ (в том числе и со стороны ОС) запрещен. После окончания работы функции анклав остается в защищенной области.
Среда защищенного исполнения встроена в пользовательский процесс, у нее собственные код и данные. Она обеспечивает безопасность, целостность данных, контроль входных точек, поддерживает многопоточность.

При попытке доступа к анклаву проверяется, находятся ли по данному адресу данные вызывающего процесса (EPC, Enclave Page Cache). Далее подвергаются контролю полномочия функции (EPCM, Enclave Page Cache Metadata), и только потом предоставляется требуемый доступ.

Аттестация происходит следующим образом. Анклав запрашивает аппаратно подписанный отчет, содержащий, в том числе информацию о целостности анклава. Этот отчет отсылается на аттестующий сервер, где происходит его верификация. Анклаву высылается ключ приложения (открытая часть ключа), где генерируется подписывающий (приватный) ключ, зависящий от анклава и платформы. Ключ приложения шифруется подписывающим ключом и сохраняется для дальнейшего использования.
Функционал Intel Software Guard Extensions реализуется с помощью комбинации SGX инструкций, поддерживающих локальную аттестацию и предоставляемого Intel аттестационного анклава для поддержки удаленной аттестации.
Разработчики SGX предусмотрели защиту от различного рода атак на данные и код: угрозы со стороны пользовательского и системного ПО, а также загрузчика. Заметим, что средствами SGX невозможно защититься от side-channel уязвимостей, когда злоумышленники собирают статистику использования ЦПУ для определения характеристик исполняемого на нем кода. Для решения подобного рода задач предназначены средства динамического анализа программ, такие, например, как Pin.

Для предотвращения перехвата данных при обмене между процессором и памятью используется Memory Encryption Engine (MEE), работающий как расширение контроллера памяти и поддерживающий технологию SGX. Для определенных областей памяти осуществляется шифрование данных, передающихся по шине. MEE использует специальные комбинации криптографических примитивов для эффективного шифрования при очень жестких требованиях по задержкам.

Как выглядит разработка приложений, поддерживающих SGX? Чувствительные фрагменты кода и данных размещаются в отдельном shared object (.so). Далее определяются интерфейса анклава и генерируются заглушки. Библиотеки SGX взаимодействуют с кодом через API, для разработки используются обычные, привычные для разработчика тулчейны. Для облегчения процесса обработки уже имеется Intel SGX SDK.
Что обещает нам технология Intel SGX? Прежде всего то, что требования к техническим навыкам пользователя, работающего с конфиденциальной информацией, могут быть сильно сокращены. Ей больше не страшны вирусы, трояны и странные программы, которые могут иметься на его компьютере. Далее, повысится доверие к облачным платформам – им можно будет доверять свои приложения, поскольку они будут защищены от любого кода хоста. Конечно, все это дело довольно далекого будущего, ведь процессоры Skylake еще только появились. Но использовать SGX можно уже сейчас. Мы готовы углубляться в эту тему и отвечать на любые вопросы, с ней связанные.
Письмо о развитии iExec: Безопасность Intel SGX и новое приложение R
![]()
Привет всем! В то время как последнее письмо о развитии было всего несколько дней назад, мы хотели бы уже поделиться с вами новым. Мы получили много вопросов, касающихся безопасности инфраструктуры iExec, и хотя есть много уровней безопасности, которые следует учитывать, например, наше доказательство вклада (PoCo), на этой недели мы хотели бы сосредоточиться в этом письмо на технологии Intel SGX. В данной статье мы расскажем, как Intel SGX защищает конфиденциальность децентрализованных приложений (DApps) и эффективно контролирует их выполнение. Мы также закончим это письмо о развитии, объявлением о добавлении нового приложения в магазин децентрализованных приложений iExec.
Что такое Intel SGX?
Технологии процессоров Intel обеспечивают уникальные возможности, которые могут улучшить конфиденциальность, безопасность и масштабируемость распределенной сети.
Intel SGX (Software Guard Extensions) представляет собой набор кодов инструкций процессора от Intel, который позволяет коду пользовательского уровня выделять частные области памяти, называемые анклавами, которые защищены от процессов, работающих на более высоких уровнях привилегий. Это означает, что даже более привилегированные системы, такие как права администратора, ядро или гипервизор, не могут получить доступ к приложению, запущенному внутри анклава.
Это новейшая технология безопасности Intel, основанная на процессорах Intel со времен архитектуры Skylake (осень 2015 года). Intel® SGX используют механизмы безопасности, основанные на ключе CPU, который встроен в CPU во время производства.
Это похоже на засекреченный секрет, запечатанный в сердце аппаратного обеспечения процессора, и никто не может проверить этот ключ, включая производителя Intel. Этот ключ используется для защиты приложений, работающих внутри анклава. Поэтому безопасность, обеспечиваемая технологией Intel SGX, гарантируется на аппаратном уровне, что оставляет очень малый интерфейс атаки для злоумышленников.
Благодаря этой замечательной функции, Intel SGX позволяет впервые использовать процессоры Intel для защиты приложения, работающего на удаленной системе. SGX все больше и больше используется для обеспечения безопасности выполнения облачных приложений.
Обеспечение секретности
С подробной презентацией Intel SGX можно ознакомиться здесь [1]. Позвольте мне кратко представить вам одну из самых важных особенностей Intel SGX: обеспечение секретности. Эта функция очень интересна, и защита распределенных приложений iExec в основном будет основана на этой функции.
В основном, когда приложение Intel SGX инициируется на удаленном узле, анклав генерируется, и удаленный объект (например, клиент, пользователь, который развертывает приложение Intel SGX) может проверить правильность анклава с помощью удаленной аттестации, чтобы убедиться, что анклав удаленного приложения является ожидаемым и не изменяется и не заменяется злоумышленником.
После этой проверки удаленный объект может предоставить некоторые секреты этому анклаву Intel SGX. Как правило, обеспечение секретности осуществляется через очень безопасный канал. Безопасный канал устанавливается между удаленным объектом и анклавом, а связь между ними шифруется ключом анклава Intel SGX, который генерируется случайным образом на основе ключа центрального процессора (CPU). Этот ключ анклава никогда не предоставляется за пределами области анклава, и, таким образом, никто другой не может проверить этот ключ для расшифровки секретов во время связи.
Наша реализация Intel SGX в настоящее время основана на SCONE [2] — защищенных контейнерах Linux с Intel SGX.
В следующем разделе мы расскажем о том, как технология Intel SGX может быть интегрирована в платформу iExec для защиты приложений.
Как Intel SGX защищает приложения iExec?
В распределенных облачных вычислениях iExec, децентрализованные приложения могут быть распределены в разных удаленных узлах по сетям и не управляются централизованным поставщиком облачных услуг, который может предложить необходимые средства централизованного управления безопасностью для защиты приложений, таких как межсетевые экраны или механизмы шифрования. Защита этих приложений, работающих в распределенных системах, становится сложной задачей.
На платформе iExec, нам нужен новый механизм, который способен:
- Защитить конфиденциальность децентрализованных приложений (DApps) и их данных
- Эффективно контролировать выполнение децентрализованных приложений (DApps)
- Защитить выполнение децентрализованных приложений (DApps) и их результат
Почему Intel SGX является идеальным решением для решения вышеуказанных проблем? Поскольку Intel SGX может предложить высокозащищенный анклав Intel SGX, который полностью изолирован от ненадежной системы. Когда приложение выполняется в этом анклаве, оно шифруется и защищается секретным ключом, полученным из ключа центрального процессора (CPU). Даже более высоко привилегированный администратор, ядро или гипервизор не могут вторгнуться в этот пузырь.
В этой статье мы в первую очередь покажем вам, как Intel SGX можно использовать на платформе iExec для решения первых двух проблем. Мы подробно рассмотрим решение третьей проблемы в следующей технической статье.
Защита конфиденциальности децентрализованных приложений и их данных
В распределенных облачных вычислениях важна защита приложения и его конфиденциальных данных. Например, приложению может потребоваться доступ к сторонним службам данных с помощью токена конфиденциальности для получения данных, которые используются для расчета приложения. Это не проблема, если приложение работает на локальной стороне или в централизованном облаке, где облачный менеджер может шифровать токен конфиденциальности и взять на себя ответственность за вопросы безопасности. Однако если приложение выполняется в недоверенной распределенной системе, оно и его конфиденциальные данные предоставляются всем распределенным узлам в сети.
Наше предложение, основанное на Intel SGX, позволяет зашифровать приложение и/или данные (например, токен/ключ, позволяющий приложению получить доступ к службам данных) перед их развертыванием по сетям, а ключ шифрования может быть передан в анклав Intel SGX по высокозащищенному каналу для расшифровки приложения и/или данных во время выполнения. Таким образом, никто по ту сторону сети не может проверять приложение/данные, потому что приложение/данные зашифрованы, а дешифрование выполняется внутри анклава Intel SGX, который защищен секретным ключом, полученным от центрального процессора (CPU), и никто не может проверять дешифрованные данные.
Например, у нас есть приложение, которое позволяет прогнозировать изменения запасов в ближайшие 3 месяца. Когда приложение начнет работать, оно сначала получит доступ к серверу финансовых данных со своим токеном конфиденциальности, для получения этих финансовых данных. Токен конфиденциальности хранится в ключевом файле, и этот ключевой файл не может быть создан непосредственно внутри приложения, поскольку он увеличивает зависимость и просто не является безопасным. Если мы зашифруем токен другим ключом, проблема заключается в том, как безопасно распределить этот ключ среди тысяч распределенных узлов во время выполнения?
Вот как Intel SGX может помочь нам в этом вопросе. С помощью Intel SGX мы можем зашифровать этот ключевой файл (т.е. хранить токен), а когда приложение запускается на удаленном узле (то есть даже на ненадежном узле без какой-либо защиты), приложение создает защищенный анклав Intel SGX и ключ дешифрования автоматически передается в анклав через защищенный канал, а затем токен, который используется для доступа к службе данных, может быть дешифрован в анклаве во время выполнения.
Таким образом, приложение и данные (например, токен/ключ, позволяющий приложениям получать доступ к службе данных) могут быть зашифрованы перед развертыванием по сетям (например, iExec DApp Store, Docker Hub и т.д.), и никто не сможет их проверить, кроме выбранного анклава.
Эффективно контролировать выполнение децентрализованных приложений
Выполнение приложения также можно полностью контролировать, так как это похоже на контроль лицензирования: каждый может загрузить приложение, но только авторизованные могут расшифровать приложение и выполнить его.
В приведенном выше разделе мы ввели обеспечение секретности, а именно, что приложение и/или данные могут быть изначально зашифрованы. Как только защищенный канал будет установлен во время выполнения между удаленным объектом и анклавом, удаленный объект может затем отправить ключ расшифровки в анклав, чтобы расшифровать приложение для его правильной работы.
Этот удаленный объект может быть планировщиком iExec данного рабочего пула, и создание канала анклава полностью находится под его контролем; защищенные каналы устанавливаются только с авторизованными узлами (то есть рабочими iExec) поэтому ключ дешифрования может быть отправлен только зарегистрированным работникам iExec для дешифрования и запуска приложения, и никто другой не сможет выполнить это приложение.
В настоящее время наша реализация Intel SGX основана на SCONE — безопасных контейнерах Linux с Intel SGX, и мы покажем вам более подробную информацию о нашей реализации в следующей технической статье.
Заключение
В этом письме о развитии мы кратко рассказали вам о технологии Intel SGX и о том, как ее можно использовать в экосистеме iExec для защиты распределенных облачных приложений, работающих на удаленных работниках.
“В настоящее время это решение рассматривается как вариант расширения безопасности, так как оно должно основываться на аппаратной поддержке Intel SGX для работников iExec (т. е. процессорах Intel начиная с серии Skylake — после осени 2015 г); и мы считаем, что машины с поддержкой SGX будут в большей степени развернуты в ближайшем будущем. iExec является пионером в использовании этой перспективной технологии Intel SGX в облачных вычислениях на основе блокчейна”, — объясняет Лэй Чжан, эксперт по криптографии в iExec.
Лэй также сделал видео с подробным описанием PoC, который он провел на Intel SGX для защиты приложений iExec. Вы можете посмотреть это видео ниже:
В следующей технической статье мы покажем вам нашу реализацию Intel SGX, а также то, как Intel SGX можно использовать на нашей платформе для защиты выполнения приложений и их результатов: а именно как мы можем убедиться, что работает правильное приложение на рабочем; что приложение правильно выполняется, не вмешивается или не прерывается работниками; убедится, что результат действителен, ни скопирован, ни сфабрикован работниками; и как защитить конфиденциальность результатов.
Новое приложение в iExec DApp Store: R
Независимо от того, измеряется ли более чем 10000 дополнительных пакетов, 95000 + членов группы R на LinkedIn или более 400 R встреч групп, существующих в настоящее время, не может быть никаких сомнений в том, что интерес к языку статистики R, особенно для анализа данных, растет [3].
Почему R? Он бесплатный, с открытым исходным кодом, мощный и очень расширяемый. Эти причины заставили наших разработчиков работать над реализацией R поверх iExec. Благодаря нашей недавней поддержке контейнеров Docker, R теперь является еще одним приложением, доступным в магазине децентрализованных прилоений iExec.
Вы можете попробовать и сообщить нам, что вы думаете об этом приложении. У нас есть канал #beta-testers на нашем Slack, где мы можем ответить на ваши вопросы и отзывы.
Другие интересные новости и достижения
Январь был месяцем многих сюрпризов. Вот краткий обзор наших последних достижений:
- iExec теперь поддерживает Docker и Blender для 3D-рендеринга.
- iExec сотрудничает со Stimergy и Cloud&Heat, чтобы обеспечить более экологичные вычислительные решения.
- iExec присоеденился к консорциуму OpenFog, который был основан ARM, Cisco, Dell, Intel, Microsoft и Принстонским университетом. Целью консорциума — является ускорение развертывания технологий туманных вычислений, с уделением особого внимания разработке открытых архитектур, которые будут поддерживать интеллект на краю Интернет вещей (IoT).
- Купить и продать токены RLC можно на криптовалютной бирже Binance, Bitfinex и Bittrex
- Токены RLC теперь также могут храниться на кошельке Exodus.
- Мы начали серию коротких регулярных обновлений о прогрессе, достигнутом командой iExec. Вот последнее, подписывайтесь на r/iexec, чтобы не пропустить предстоящие.
Вот и все для этого письма о развитии iExec. Благодарим нашего эксперта по криптографии Лэй Чжан за его объяснения по Intel SGX. Оставайтесь с нами до следующего раза, так как у нас все еще есть интересные новости, чтобы поделиться с вами!
[1] Руководство разработчика для Intel® Software Guard Extensions (Intel® SGX): https://software.intel.com/en-us/documentation/sgx-developer-guide
[3] Руководство по R: введение, Sharon Machlis (18 авг 2017 )
Автор: Wassim Bendella
Опубликовано: 15 февраля 2018
Первоисточник на английском языке: