增強(qiáng)硬件安全，Linux 6.2 為英特爾 SGX 引入異步退出通知機(jī)制

2022-12-15 14:01:45|

來(lái)源：IT之家作者：

【資料圖】

IT之家 12 月 15 日消息，正在開(kāi)發(fā)狀態(tài)下的 Linux 6.2 在引入 TDX 訪(fǎng)客認(rèn)證支持之外，還計(jì)劃為英特爾的英特爾軟件防護(hù)擴(kuò)展（SGX）引入異步退出通知（Asynchronous Exit Notification）機(jī)制，從而進(jìn)一步增強(qiáng)硬件安全。

Linux 6.2 內(nèi)核合并的最新 SGX 代碼，可以安全地使用新英特爾 CPU 的異步退出（AEX）通知機(jī)制。AEX 通知路徑允許在退出事件上運(yùn)行一個(gè)處理程序，這反過(guò)來(lái)又可以緩解 SGX-Step 漏洞等問(wèn)題。對(duì) AEX Notify 的支持有助于加強(qiáng)英特爾 SGX 周?chē)姆烙苑乐拐?lèi)攻擊。

IT之家了解到，隨著現(xiàn)在 Linux 6.2 中 x86 / sgx 代碼的合并，AEX Notify 支持在裸機(jī)（Bare-metal）用戶(hù)空間運(yùn)行環(huán)境（enclave）和 KVM 虛擬機(jī)（VM）中使用，以更好地保護(hù)支持處理器上的 SGX 用戶(hù)空間運(yùn)行環(huán)境。

除了 SGX AEX Notify 和 TDX 客體認(rèn)證，Linux 6.2 的其它安全改進(jìn)還包括用于降低 Skylake 時(shí)代處理器 Retbleed 開(kāi)銷(xiāo)的 Call Depth Tracking，F(xiàn)ineIBT 作為支持間接分支跟蹤（IBT）的 CPU 的控制流完整性選項(xiàng)，以及常規(guī)的安全改進(jìn)。

IT之家了解到，英特爾軟件防護(hù)擴(kuò)展是一組安全相關(guān)的指令，它被內(nèi)置于一些現(xiàn)代 Intel 中央處理器中。它們?cè)试S用戶(hù)態(tài)及內(nèi)核態(tài)代碼定義將特定內(nèi)存區(qū)域，設(shè)置為私有區(qū)域，此區(qū)域也被稱(chēng)作飛地。其內(nèi)容受到保護(hù)，不能被本身以外的任何進(jìn)程存取，包括以更高權(quán)限級(jí)別運(yùn)行的進(jìn)程。CPU 對(duì)受 SGX 保護(hù)的內(nèi)存進(jìn)行加密處理。

標(biāo)簽： Linux