Как стать автором
Обновить

Комментарии 9

НЛО прилетело и опубликовало эту надпись здесь
Если вы используете проприетарное ПО, вы своему компьютеру так и так не хозяин. А если свободное, то можете полностью контролировать как использовать подобные технологии, и, собственно, использовать только для собственной пользы. Например (предположительно, ибо в статье должно было быть написано как работает технология, а не маркетологическая вода), защить ключи в ssh-agent даже от root'а.
НЛО прилетело и опубликовало эту надпись здесь
> С этой же технологией я данной свободы лишаюсь.

Вы зачем-то валите на технологию проблемы проприетарного ПО. В реальном мире не нужно менять никаких битов, патчить бинарники и что-то ломать, когда можно изменить исходник и пересобрать, а вот от угроз защищаться надо. Внедрение технологии будет обосновано именно этим, а не вашим желанием городить костыли. У вас, впрочем, всегда остаются эмуляторы.

> … и полностью поломать логику работы системы безопасности. root — царь и бог. Эта схема уже давно существует, она прошла испытания десятилетиями, на ЧТО предлагаете ее менять

Во-первых, от уменьшения привилегий безопасность пока ещё никогда не страдала. Не существует никакой «логики работы системы безопасности», которая требовала бы что root — царь и бог.
Во-вторых, давно существует множество механизмов ограничения привилегий в том числе и root'а, и они замечательно работают. Появление железного механизма — большой плюс.
В-третьих, ничего менять я не предлагаю.

> и главное, ЗАЧЕМ?

В данном случае — очень просто: даже получив рута на машине, злоумышленник не получит расшифрованных ключей. Без железной поддержки это гарантировать невозможно.
НЛО прилетело и опубликовало эту надпись здесь
В данном случае — очень просто: даже получив рута на машине, злоумышленник не получит расшифрованных ключей.


Или наоборот. Вирус сможет защитить свои код и данные от чтения антивирусом, у которого не будет шансов распознать вредоносное ПО эвристическими методами.
> Цель 8. Позволить приложениям определять защищенные области кода и данных, которые содержат конфиденциальность, даже в том случае, если атакующий физически контролирует платформу и может производить прямые атаки на ее память.

Могут ли использовать данную технологию для защиты ботнетов и троянов (приложений) от антивирусов (атакующих, которые пытаются лишить приложение конфиденциальности)?
www.virusbtn.com/virusbulletin/archive/2014/01/vb201401-SGX «SGX: the good, the bad and the downright ugly», 2014-01-07 —
...Unfortunately, SGX is also a prime weapon for use in malware. For better or worse, it currently looks like Intel will not be giving the option for ‘trusted anti-malware vendors’ to access the contents of enclaves to make sure they are safe. Thus, malware can, in principle, freely create enclaves to prevent the operating system/hypervisor/anti malware from knowing what it is executing.

Будут ли доступны SGX в бытовых процессорах (Pentium/Core i*)?

PS: Технические подробности технологии: web.stanford.edu/class/ee380/Abstracts/150415-slides.pdf Frank McKeen, Intel Labs (April 15, 2015)
Самое главное забыли
https://software.intel.com/sites/default/files/article/413939/hasp-2013-innovative-technology-for-attestation-and-sealing.pdf
Зарегистрируйтесь на Хабре , чтобы оставить комментарий