Software Guard Extensions

Die Software Guard Extensions (Intel SGX) waren eine Erweiterung der x86-Architektur, um sichere Enklaven zu erstellen. Diese sind Bereiche im Adressraum eines Prozesses, die speziell durch die CPU geschützt werden, und für die alle direkten Zugriffe, auch von privilegierten Prozessen, durch die CPU kontrolliert bzw. verhindert werden. Der Schutz des SGX-Speichers umfasste unter anderem transparente Speicherverschlüsselung mit Integritätsschutz^[1].

SGX wurde von Intel mit Mikroprozessoren der sechsten Generation (Skylake-Mikroarchitektur) im Jahre 2015 eingeführt. In welchem Umfang eine CPU die SGX-Befehlssatzerweiterungen unterstützte, konnte mit der CPUID Instruktion^[2] abgefragt werden (CPUID „Structured Extended Feature Leaf“, EBX-Bit 02), aber seine Verfügbarkeit für Anwendungen erforderte BIOS / UEFI -Unterstützung und Opt-in-Aktivierung, was sich nicht in CPUID-Bits widerspiegelte. Dies verkomplizierte die Merkmalserkennungslogik für Anwendungen.

Die Emulation von SGX wurde 2014 auch zu einer experimentellen Version des QEMU-Systememulators hinzugefügt. 2015 veröffentlichten Forscher des Georgia Institute of Technology den Open-Source-Simulator „OpenSGX“.

Seit 2022 führt Intel in den Datenblättern zu Alder Lake (Core i-12000) und Rocket Lake (Core i-11000) SGX unter dem Reiter "veraltet" auf. SGX ist nicht mehr in Hardware vorhanden. Tiger Lake-Prozessoren für Notebooks können mit SGX umgehen, nur deaktiviert Intel SGX bei allen CPUs (Core i-1100G, Core i-11000H, Xeon W-11000).^[3]

Funktion

Programmierer können mittels SGX unter anderem durch Prüfung digitaler Signaturen ihre Software besser vor Manipulationen schützen. Sogar auf kompromittierten Betriebssystemen soll Code sicher ausgeführt werden. In geschützten Speicherbereichen, die Enklaven, die selbst vor Zugriffen des Betriebssystems geschützt sein sollen, bliebe Software weiter sicher ausführbar.^[4] Allerdings ist dafür eine Lizenz und ein "Attestation Key" von Intel nötig. Gemäß dem SGX-Konzept kann man darunter laufende Software weder analysieren noch überwachen.

Einzelnachweise

↑ Intel® 64 and IA-32 Architectures Software Developer’s Manual. Abgerufen am 31. Januar 2019.
↑ Intel® Architecture Instruction Set Extensions and Future Features Programming Reference. Abgerufen am 31. Januar 2019.
↑ Mark Mantel: UHD-Blu-rays lassen sich nicht mehr auf neuen PCs wiedergeben: SGX deaktiviert. Heise Medien Verlag, 14. Januar 2022, abgerufen am 14. Januar 2022.
↑ https://software.intel.com/en-us/blogs/2013/09/26/protecting-application-secrets-with-intel-sgx

[1] Intel® 64 and IA-32 Architectures Software Developer’s Manual. Abgerufen am 31. Januar 2019.

[2] Intel® Architecture Instruction Set Extensions and Future Features Programming Reference. Abgerufen am 31. Januar 2019.

[3] Mark Mantel: UHD-Blu-rays lassen sich nicht mehr auf neuen PCs wiedergeben: SGX deaktiviert. Heise Medien Verlag, 14. Januar 2022, abgerufen am 14. Januar 2022.

[4] ttps://software.intel.com/en-us/blogs/2013/09/26/protecting-application-secrets-with-intel-sgx

[1]

[2]

[3]

[4]

Betriebsmodi	Real Mode • Protected Mode • Virtual 8086 Mode • System Management Mode • Long Mode • Compatibility Mode
Befehlssatzerweiterungen	x87 ⬝ PAE ⬝ NX ⬝ AMD64/Intel 64 (x64) ⬝ HTT ⬝ VT-x/AMD-V/VIA VT ⬝ 3DNow! ⬝ MMX ⬝ SSE ⬝ SSE2 ⬝ SSE3 ⬝ SSSE3 ⬝ SSE4 ⬝ SSE4a ⬝ ~~SSE5~~ ⬝ F16C ⬝ AVX ⬝ CLMUL ⬝ AES-NI ⬝ FMA ⬝ TSX ⬝ BMI ⬝ ~~MPX~~ ⬝ SGX