Надежная среда выполнения - Википедия - Trusted execution environment

А доверенная среда исполнения (Тройник) - это безопасная зона главный процессор. Это гарантирует, что код и данные, загруженные внутрь, будут защищены с точки зрения конфиденциальности и целостности.[требуется разъяснение ].[1] TEE как изолированная среда выполнения обеспечивает такие функции безопасности, как изолированное выполнение, целостность приложений, выполняемых с помощью TEE, а также конфиденциальность их активов.[2] В общем, TEE предлагает пространство выполнения, которое обеспечивает более высокий уровень безопасности для доверенных приложений, работающих на устройстве, чем полноценная операционная система (ОС), и больше функциональных возможностей, чем «безопасный элемент» (SE).

История

В Открытая платформа мобильных терминалов (OMTP) впервые определила TEE в своем стандарте «Advanced Trusted Environment: OMTP TR1», определив его как «набор аппаратных и программных компонентов, обеспечивающих средства, необходимые для поддержки приложений», которые должны были соответствовать требованиям одного из двух определенных уровней безопасности. Первый уровень безопасности, Профиль 1, был нацелен только на программные атаки, а Профиль 2 был нацелен как на программные, так и на аппаратные атаки.[3]

Коммерческие решения TEE на базе ARM TrustZone Позднее были запущены технологии, соответствующие стандарту TR1, такие как Trusted Foundations, разработанные Trusted Logic.[4]

Работа над стандартами OMTP завершилась в середине 2010 года, когда группа перешла на Сообщество оптовых приложений (WAC).[5]

Стандарты OMTP, включая те, которые определяют TEE, размещены на GSMA.[6]

Подробности

TEE - это стандарт, который создает изолированную среду, работающую параллельно с операционной системой, обеспечивая безопасность для многофункциональной среды. Он должен быть более безопасным, чем ОС, ориентированная на пользователя. ARM TrustZone TEE - это реализация стандарта TEE. TrustZone TEE - это гибридный подход, который использует как оборудование, так и программное обеспечение для защиты данных.[7] [8] Таким образом, он предлагает уровень безопасности, достаточный для многих приложений. Только доверенные приложения, работающие в TEE, имеют доступ к полной мощности основного процессора, периферийных устройств и памяти устройства, а аппаратная изоляция защищает их от установленных пользователем приложений, работающих в основной операционной системе. Программная и криптографическая изоляция внутри TEE защищают содержащиеся внутри доверенные приложения друг от друга.[9]

Поставщики услуг, операторы мобильной связи (MNO), разработчики операционных систем, разработчики приложений производители устройств, поставщики платформ и поставщики микросхем являются основными заинтересованными сторонами, участвующими в усилиях по стандартизации TEE.

Чтобы предотвратить моделирование оборудования с помощью программного обеспечения, управляемого пользователем, используется так называемый «корень доверия». Это набор закрытых ключей (так называемые «ключи подтверждения» или «предоставленные секреты»), которые встраиваются непосредственно в чип во время производства (одноразовая программируемая память, такая как электронные предохранители обычно используются, несмотря на большую площадь микросхемы, которую они занимают), не могут быть изменены, и чьи общедоступные аналоги находятся в базе данных производителя вместе с несекретным хешем открытого ключа, принадлежащего доверенной стороне (обычно поставщик микросхемы ), который используется для подписи доверенного микропрограммного обеспечения вместе со схемами, выполняющими криптографические операции и контролирующими доступ. Аппаратное обеспечение спроектировано таким образом, чтобы все программное обеспечение, не подписанное ключом доверенной стороны, не могло получить доступ к привилегированным функциям. Открытый ключ поставщика предоставляется во время выполнения и хешируется; затем этот хэш сравнивается с хешем, встроенным в чип. Если хэш совпадает, открытый ключ используется для проверки цифровой подписи проверенных прошивок, контролируемых производителем (например, цепочка загрузчиков на устройствах Android или «архитектурные анклавы» в SGX). Затем доверенная прошивка используется для удаленной аттестации.[10].

Ненадежный компонент приложения, требующий подтверждения, загружает доверенный компонент в память. Доверенное приложение защищено от модификации ненадежными компонентами оборудования. А nonce запрашивается недоверенной стороной с сервера верификатора и используется как часть протокола криптографической аутентификации, подтверждая целостность доверенного приложения. Доказательство передается верификатору, который его проверяет. Действительное доказательство не может быть вычислено на смоделированном оборудовании (т.е. QEMU ) потому что для его построения требуется доступ к встроенным в оборудование ключам; только доверенная прошивка имеет доступ к этим ключам и / или ключам, полученным из них или полученным с их помощью. Поскольку только владелец платформы должен иметь доступ к данным, записанным на заводе, проверяющая сторона должна взаимодействовать со службой, созданной поставщиком. Если схема реализована неправильно, поставщик микросхемы может отслеживать, какие приложения используются на каком кристалле, и выборочно отказывать в обслуживании, возвращая сообщение о том, что аутентификация не прошла.

Чтобы смоделировать оборудование таким образом, чтобы оно могло пройти удаленную аутентификацию, злоумышленнику потребуется извлечь ключи из оборудования, что является дорогостоящим из-за необходимого оборудования и навыков обратного проектирования (сфокусированный ионный пучок, растровый электронный микроскоп, микрозондирование, декапсуляция ) [11][12][13][14][15] [16] или даже невозможно, если оборудование спроектировано таким образом, что при обратном проектировании ключи уничтожаются. В некоторых случаях ключи уникальны для каждой части оборудования, поэтому ключ, извлеченный из одного чипа, бесполезен для другого (например, физически неклонируемые функции[17][18]).

Хотя лишение права собственности не является неотъемлемым свойством TEE (можно спроектировать систему таким образом, чтобы позволить управлять системой только пользователю, который первым получил право собственности на устройство), на практике все такие системы в бытовой электронике являются намеренно разработан, чтобы позволить производителям микросхем контролировать доступ к аттестации и ее алгоритмам. Он позволяет производителям предоставлять доступ к TEE только разработчикам программного обеспечения, которые имеют (обычно коммерческое) деловое соглашение с производителем, и разрешать такие варианты использования, как тивоизация и DRM.

Использует

Есть несколько вариантов использования TEE. Хотя не все возможные варианты использования используют лишение права собственности, TEE обычно используется именно для этого.

Защита премиум-контента / Управление цифровыми правами

Примечание. Во многих публикациях по TEE эта тема рассматривается под определением «защита премиум-контента», которое является предпочтительной терминологией многих правообладателей. Защита премиум-контента - это частный случай использования Управление цифровыми правами (DRM), и вызывает споры среди некоторых сообществ, таких как Фонд свободного программного обеспечения.[19] Он широко используется правообладателями для ограничения способов, которыми конечные пользователи могут потреблять контент, такой как фильмы высокой четкости 4K.

TEE - подходящая среда для защиты информации, закодированной в цифровом виде (например, HD-фильмов или аудио) на подключенных устройствах, таких как смартфоны, планшеты и HD-телевизоры. Эта пригодность проистекает из способности TEE лишать владельца устройства возможности читать сохраненные секреты, а также того факта, что часто существует защищенный аппаратный путь между TEE и дисплеем и / или подсистемами на устройствах.

TEE используется для защиты контента, когда он находится на устройстве: в то время как контент защищен во время передачи или потоковой передачи с использованием шифрования, TEE защищает контент после того, как он был расшифрован на устройстве, гарантируя, что расшифрованный контент не будет подвержены воздействию среды, не одобренной разработчиком приложения ИЛИ поставщиком платформы.

Мобильные финансовые услуги

Приложения мобильной коммерции, такие как мобильные кошельки, одноранговые платежи, бесконтактные платежи или использование мобильного устройства в качестве терминала торговой точки (POS), часто имеют четко определенные требования к безопасности. TEE могут использоваться, часто в сочетании с связь ближнего радиуса действия (NFC), SE и доверенные серверные системы для обеспечения безопасности, необходимой для проведения финансовых транзакций.

В некоторых сценариях требуется взаимодействие с конечным пользователем, и это может потребовать от пользователя раскрытия конфиденциальной информации, такой как PIN-код, пароль или биометрический идентификатор, для мобильная ОС как средство аутентификации пользователя. TEE дополнительно предлагает доверенный пользовательский интерфейс, который можно использовать для создания аутентификации пользователя на мобильном устройстве.

Аутентификация

TEE хорошо подходит для поддержки методов биометрической идентификации (распознавание лица, датчик отпечатков пальцев и голосовая авторизация), которые, возможно, проще в использовании и сложнее украсть, чем PIN-коды и пароли. Процесс аутентификации обычно делится на три основных этапа:

  • Сохранение ссылочного идентификатора «шаблона» на устройстве для сравнения с «изображением», извлеченным на следующем этапе.
  • Извлечение «изображения» (например, сканирование отпечатка пальца или запись образца голоса).
  • Использование механизма сопоставления для сравнения «изображения» и «шаблона».

TEE - это хорошая область в мобильном устройстве для размещения механизма сопоставления и связанной с ним обработки, необходимой для аутентификации пользователя. Среда предназначена для защиты данных и создания буфера от незащищенных приложений, расположенных в мобильная ОС. Эта дополнительная безопасность может помочь удовлетворить потребности поставщиков услуг в области безопасности в дополнение к снижению затрат для разработчиков мобильных телефонов.

Предприятие, правительство и облако

TEE может использоваться правительствами, предприятиями и поставщиками облачных услуг для обеспечения безопасной обработки конфиденциальной информации на мобильных устройствах и в серверной инфраструктуре. TEE предлагает уровень защиты от программных атак, генерируемых в мобильная ОС и помогает контролировать права доступа. Это достигается за счет размещения чувствительных, «доверенных» приложений, которые необходимо изолировать и защитить от мобильной ОС и любых вредоносных вредоносных программ, которые могут присутствовать. Используя функциональность и уровни безопасности, предлагаемые TEE, правительства и предприятия могут быть уверены, что сотрудники, использующие свои собственные устройства, делают это безопасным и надежным способом. Аналогичным образом, серверные TEE помогают защищаться от внутренних и внешних атак на внутреннюю инфраструктуру.

Безопасное модульное программирование

С ростом программных активов и повторного использования, модульное программирование является наиболее продуктивным процессом разработки архитектуры программного обеспечения, путем разделения функций на небольшие независимые модули. Поскольку каждый модуль содержит все необходимое для выполнения желаемой функциональности, TEE позволяет организовать полную систему с высоким уровнем надежности и безопасности, одновременно защищая каждый модуль от уязвимостей других.

Чтобы модули могли обмениваться данными и обмениваться данными, TEE предоставляет средства для безопасной передачи / приема полезной нагрузки между модулями, используя такие механизмы, как сериализация объектов в сочетании с прокси.

Видеть Компонентная разработка программного обеспечения

Поддержка оборудования

Следующие аппаратные технологии могут использоваться для поддержки реализаций TEE:

Смотрите также

Рекомендации

  1. ^ «Надежная среда выполнения, она есть у миллионов пользователей, а у вас есть?». Poulpita. 2014-02-18. Получено 2017-05-17.
  2. ^ Рам Кумар Коппу (26 октября 2013 г.). «Преимущества Trusted Execution Environment (TEE)». YouTube.
  3. ^ «Аппаратные требования и дефрагментация Omtp» (PDF). Gsma.org. Получено 2017-05-17.
  4. ^ [1]
  5. ^ «OMTP объявляет окончательные документы перед переходом в Сообщество оптовых приложений». Mobileeurope.co.uk.
  6. ^ «Документы ОСМТ». Gsma.com. Май 2012 г.. Получено 12 сентября 2014.
  7. ^ Сабт, М; Ахемлал, М; Буабдалла, А (2015). «Надежная среда выполнения: что это такое, а что нет». 2015 IEEE Trustcom / BigDataSE / ISPA (PDF). IEEE. IEEE. С. 57–64. Дои:10.1109 / Trustcom.2015.357. ISBN  978-1-4673-7952-6. S2CID  206775888.
  8. ^ Ли, S; Ли, JH (2018). «Протокол установления сеансового ключа на основе TEE для безопасных информационно-развлекательных систем». Автоматизация проектирования встраиваемых систем. Springer. 22 (3): 215–224. Дои:10.1007 / s10617-018-9212-5. S2CID  52081114.
  9. ^ «Решения - Trustonic - Защита смарт-устройств и мобильных приложений». Trustonic.com.
  10. ^ «На пути к формализации удаленной аттестации на основе расширенного идентификатора конфиденциальности (EPID) в Intel SGX».
  11. ^ https://hackaday.com/2014/04/01/editing-circuits-with-focused-ion-beams/
  12. ^ https://www.blackhat.com/docs/us-15/materials/us-15-Thomas-Advanced-IC-Reverse-Engineering-Techniques-In-Depth-Analysis-Of-A-Modern-Smart-Card. pdf
  13. ^ Поиск битов AES в стоге сена: обратный инжиниринг и SCA с использованием контраста напряжения Кристиан Кисон, Юрген Фринкен и Кристоф Паар. https://www.iacr.org/archive/ches2015/92930620/92930620.pdf
  14. ^ Как взломщики кода раскрыли секреты смарт-карты - https://www.theguardian.com/technology/2002/mar/13/media.citynews
  15. ^ https://spectrum.ieee.org/nanoclast/semiconductors/design/xray-tech-lays-chip-secrets-bare
  16. ^ Принципы разработки защищенных от взлома процессоров смарт-карт, разработанные Оливером Кёммерлингом Advanced Digital Security и Маркусом Г. Куном Кембриджского университета https://www.usenix.org/legacy/events/smartcard99/full_papers/kommerling/kommerling.pdf
  17. ^ https://semiengineering.com/knowledge_centers/semiconductor-security/physically-unclonable-functions/
  18. ^ Арено, Мэтью и Плюскеллик, Дж. (2012). Защита надежных сред выполнения с помощью секретных ключей, созданных PUF. 1188-1193. 10.1109 / TrustCom.2012.255.
  19. ^ «Управление цифровыми ограничениями и Фонд свободного программного обеспечения предательских вычислений совместно работают над свободным ПО». Получено 2019-08-20.
  20. ^ «Защищенный процессор AMD (встроенная технология)». Amd.com.
  21. ^ «Безопасное оборудование и создание открытой доверенной экосистемы» (PDF). Classic.regonline.com. Получено 2017-05-17.
  22. ^ Кьяппетта, Марко (29 апреля 2014 г.). «APU AMD Beema и Mullins с низким энергопотреблением протестированы 2014 г. - стр. 2». HotHardware. Получено 2017-05-17.
  23. ^ «ШИФРОВАНИЕ ПАМЯТИ AMD» (PDF). developer.amd.com. 21 апреля 2016 г. | первый = отсутствующий | последний = (помощь)
  24. ^ «AMD SEV-SNP: усиление изоляции виртуальных машин с помощью защиты целостности и др.» (PDF). Январь 2020.
  25. ^ «Надежная среда выполнения на базе GlobalPlatform и готовность к TrustZone» (PDF). Arm.com.
  26. ^ «Безопасный сервисный контейнер IBM». ibm.com.
  27. ^ "Семейство 2965 + 01 IBM z13s Модели N10 и N20". ibm.com.
  28. ^ «Технический обзор безопасного выполнения для Linux на IBM Z». ibm.com.
  29. ^ «Надежные среды выполнения на мобильных устройствах» (PDF). Cs.helsinki.fi. Получено 2017-05-17.
  30. ^ "WW46_2014_MCG_Tablet_Roadmap_ 图文 _ 百度 文库". Wenku.baidu.com.
  31. ^ "CyanogenMod / android_device_asus_mofd-common". GitHub.
  32. ^ "heidiao / sfp_m2_bt". GitHub.
  33. ^ «Hex Five Security добавляет среду доверенного выполнения MultiZone ™ в экосистему программного обеспечения SiFive». hex-five.com. Получено 2018-09-13.
  34. ^ «Бумага Keystone и тройники, изготовленные по индивидуальному заказу». keystone-enclave.org. Получено 2020-05-17.
  35. ^ «Анклав Пэнлай». penglai-enclave.systems/. Получено 2020-10-04.