Software Guard Extensions

Intel Software Guard Extensions (SGX) és un conjunt de codis d'instrucció que implementen un entorn d'execució de confiança que s'incorporen a algunes unitats de processament central (CPU) d'Intel. Permeten a nivell d'usuari i codi del sistema operatiu definir regions privades protegides de memòria, anomenades enclavaments.^[1][2] SGX està dissenyat per ser útil per implementar càlcul remot segur, navegació web segura i gestió de drets digitals (DRM).^[3] Altres aplicacions inclouen l'ocultació d'algorismes propietaris i de claus de xifratge.^[4]

SGX implica el xifratge per part de la CPU d'una part de la memòria (l' enclavament). Les dades i el codi originats a l'enclavament es desencripten sobre la marxa dins de la CPU,^[5] protegint-los de ser examinats o llegits per un altre codi,^[5] inclòs el codi que s'executa a nivells de privilegis més alts com el sistema operatiu i qualsevol hipervisor subjacent.^[6][5][7] Tot i que això pot mitigar molts tipus d'atacs, no protegeix dels atacs de canals laterals.^[8]

Un pivot d'Intel el 2021 va provocar la desaparició de l'SGX dels processadors Intel Core de 11a i 12a generació, però el desenvolupament continua a Intel Xeon per al núvol i l'ús empresarial.^[9][10]

Detalls

SGX es va presentar per primera vegada el 2015 amb la sisena generació de microprocessadors Intel Core basats en la microarquitectura Skylake.

El suport per a SGX a la CPU s'indica a CPUID "Structured Extended feature Leaf", EBX bit 02, però la seva disponibilitat per a les aplicacions requereix suport de BIOS / UEFI i habilitació d'activació que no es reflecteix en els bits de CPUID. Això complica la lògica de detecció de funcions per a les aplicacions.^[11]

L'emulació de SGX es va afegir a una versió experimental de l'emulador del sistema QEMU el 2014.^[12] El 2015, investigadors de l'Institut Tecnològic de Geòrgia van llançar un simulador de codi obert anomenat "OpenSGX".^[13]

Un exemple de SGX utilitzat en seguretat va ser una aplicació de demostració de wolfSSL^[14] que l'utilitzava per a algorismes de criptografia.

La microarquitectura Intel Goldmont Plus (Gemini Lake) també conté suport per a Intel SGX.^[15]

Tant a l'11a com a la 12a generació de processadors Intel Core, SGX apareix com a "obsolet" i, per tant, no és compatible amb els processadors de "plataforma client".^[16][17][18] Això va eliminar el suport per reproduir discos Blu-ray Ultra HD en programari amb llicència oficial, com PowerDVD.^[19]