构建可信链条对隐私有需求的个人设备以及高安全性的云环境一直是重要的议题,传统 Root of Trust 构建基本上由 verifiedboot 以及 measuredboot 完成,随着 Intel SGX 以及 ARM 平台 TEE 的推广,虽然当前云环境中主要的需求 attestation 并不需要 secure enclave 来实现,但这并不阻碍 secure enclave 被业界越来越关注。
早在 2016 年,MIT 的研究人员就在 Sanctum 项目中尝试使用 RISC-V 实现 Intel SGX 类似的功能基础PoC,最新版本的 Sanctum 使用 Rocket 开放核实现了 PUF,attestation 以及 verifiedboot 相关的构建信任链条的核心功能。 同时,MIT 和 UC Berkeley 合作开发了另外一个叫 Keystone 的项目,Keystone 在 Sanctum 的基础上使用了 PMP(类似软件中 PaX UDEREF)以增强本身的安全性,不论是 Sanctum 还是 Keystone 都是开放的设计和实现,也就意味着任何人都可以去审计后门和漏洞。 这一点和 Intel SGX 的复杂且封闭的设计和实现完全不同,这也意味着一个让 Google 都感到害怕的 Intel ME 系统可以由从硬件到软件都是自由开放的系统来替换。 来自:Solidot |
