Современные компьютеры оснащены высокопроизводительными антивирусами, в том числе несколькими средствами безопасности для защиты ваших ценных данных от вирусов, шпионских программ, кейлоггеров и других вредоносных программ. Но если вам нужны максимальные меры безопасности, вы можете изучить еще больше мер предосторожности.
Одним из них является Intel SGX, который идеально подходит для разработчиков и организаций, которым необходима защита от уязвимостей безопасности во многих приложениях и исполняемых файлах. В этой статье мы рассмотрим все, что вам нужно знать о SGX, включая его плюсы и минусы, а также процедуру включения его на вашем высокопроизводительном процессоре.
Что такое Intel SGX?
Расширения Intel Software Guard Extensions (SGX) — это функция, которая использует шифрование на аппаратном уровне для защиты ваших конфиденциальных данных от нарушений безопасности. SGX использует анклавы, которые представляют собой доверенные среды, зашифрованные в памяти. Эти изолированные регионы используются приложениями для хранения конфиденциальных данных, а ОЗУ, занимаемое анклавом, не может использоваться каким-либо процессом, приложением или операционной системой. Поскольку ключ к расшифровке информации находится в руках процессора, получить несанкционированный доступ к данным, хранящимся в анклаве, крайне сложно.
Каждое приложение, разработанное с использованием SGX, имеет доверенные и ненадежные части. Когда вы запускаете приложение, ненадежная часть создает анклав внутри оперативной памяти. Анклав включает в себя доверенную часть и отвечает за шифрование всей конфиденциальной информации, необходимой приложению.
Всякий раз, когда ненадежной части требуется доступ к анклаву, она вызывает доверенную функцию и переключается на анклав для выполнения. Как только анклав завершает обработку конфиденциальных данных, приложение возвращается к недоверенной части. Он возобновляет нормальное выполнение, в то время как анклав продолжает хранить конфиденциальную информацию.
Стоит ли использовать Intel SGX?
Источник: Леново
Для тех, у кого есть доступ к чипам Intel Xeon, Intel SGX — отличный способ защитить ваши банки данных от атак, связанных с программным обеспечением. Функция аппаратного шифрования также не позволяет хакерам получить доступ к вашим данным, даже если они каким-то образом получат доступ к вашему физическому оборудованию, включая оперативную память.
Тем не менее, приложения, работающие с расширениями Software Guard, все равно могут быть скомпрометированы. Например, SGX уязвим для атак по побочным каналам. Хотя в прошлом Intel выпустила рекомендации по безопасности для устранения нескольких нарушений безопасности, уязвимость утечки ÆPIC, которая затрагивает многие процессоры Intel Core и Xeon Ice Lake, до сих пор не исправлена. Кроме того, код, содержащий вредоносное ПО, по-прежнему может нанести ущерб, если он запускается внутри анклава.
Как включить Intel SGX?
SGX был добавлен в серию Skylake 6-го поколения, хотя Intel прекратила поддержку этой функции для всех процессоров Intel Core, начиная с семейства Tiger Lake (11-го поколения). Таким образом, вы можете получить доступ к SGX только в том случае, если у вас более старый процессор Intel Core.
Между тем, SGX более заметен на процессорах Intel Xeon E, выпущенных после 2019 года, и вы можете использовать эту ссылку, чтобы проверить, поддерживает ли ваш процессор Xeon SGX.
Точные действия по включению Intel SGX будут различаться в зависимости от модели вашего процессора. В любом случае, первым шагом будет установка приложения активации Intel SGX из Microsoft Store:
Перейдите по этой ссылке в Microsoft Store. Нажмите кнопку «Загрузить» и выберите «Открыть Microsoft Store» при появлении запроса в веб-браузере. Нажмите кнопку «Установить». После установки откройте меню «Пуск» и щелкните правой кнопкой мыши приложение Intel SGX, прежде чем выбрать «Дополнительно» и «Запуск от имени администратора». Нажмите «Активировать», чтобы включить Intel SGX. Кнопка «Активировать» станет неактивной, и приложение отобразит сообщение «Intel SGX активирован». Если отображается ошибка, вам придется выполнить некоторые другие шаги.
Установите драйверы Intel Management Engine
Для некоторых процессоров, например Intel Core i7-7700HQ, который я использовал в этой статье, может потребоваться установка драйверов Intel Management Engine.
Используйте эту ссылку для загрузки драйверов. Разархивируйте папку и запустите SetupME.exe с правами администратора. Нажмите «Далее» на странице приветствия. Примите лицензионное соглашение, прежде чем нажать «Далее». Нажмите кнопку «Готово», чтобы завершить установку.
Изменить настройки BIOS
С другой стороны, для некоторых процессоров может потребоваться включить Intel SGX и изменить некоторые настройки в BIOS.
Перезагрузите систему и продолжайте нажимать «Удалить», чтобы войти в BIOS. Если вы используете ноутбук, вы можете загрузиться в BIOS с помощью клавиши F2. Перейдите на вкладку «Дополнительно» и откройте «Конфигурация памяти». Измените параметры «Возможно зеркалирование памяти», «Кластеризация на основе UMA», «Патрульная очистка» и «Режим зеркала» на «Отключено». Установите для параметра «Исправленная ошибка памяти» значение «Включено». Вернитесь на вкладку «Дополнительно» и введите «Конфигурация процессора». Установите для Total Memory Encryption (TME) и Intel SGX значение «Включено».
Обратите внимание, что некоторые из этих опций могут иметь разные названия в зависимости от марки вашего ноутбука и BIOS.
Несмотря на свои недостатки и проблемы, которые вам придется преодолеть, чтобы включить его, Intel SGX — отличный способ повысить безопасность исполняемых файлов. К сожалению, найти процессор, совместимый с ним, легче сказать, чем сделать. Кроме того, обычному пользователю лучше приобрести современный процессор, а не искать устаревший процессор или чип Intel Xeon корпоративного уровня только для включения расширений Software Guard Extensions.