Funktionsweise der Intel® Software Guard Extensions (Intel® SGX)
Sicherheitslösungen bieten heute Verschlüsselungsmöglichkeiten für Daten, die sich im Datenspeicher befinden oder im Netzwerk übertragen werden. Allerdings sind Daten während ihrer aktiven Verarbeitung im Arbeitsspeicher weiterhin anfällig für Angriffe. So nennt zum Beispiel die Datenbank Common Vulnerabilities and Exposures (CVE)1 derzeit über 11.000 potenzielle Sicherheitslücken, wobei für 34 Prozent dieser Schwachstellen nach wie vor keine Lösung besteht, das Risiko zu mindern. Indem Intel® SGX die Betriebssystemebene und die Software-Ebene virtueller Maschinen (VMs) umgehen, bieten sie deutlich besseren Schutz vor dieser Art von Angriffen. Sie vergrößern die Datensicherheit und stellen eine Lösung für den Bedarf an Confidential Computing bereit, also der Bereitstellung vertrauenswürdiger Umgebungen, bereit. Diese Hardware-verstärkte Sicherheitslösung nutzt Verschlüsselung zur Änderung der Art des Arbeitsspeicherzugriffs und bietet geschützte Systemspeicherbereiche für die Ausführung von Anwendungen und die Bereitstellung der entsprechenden Daten. Intel® SGX ermöglichen zudem die Verifizierung einer Anwendung und der Hardware, auf der diese ausgeführt wird.
Was sind Seitenkanalangriffe und sollte ich angesichts dieser Form von Angriffen beunruhigt sein?
Seitenkanalangriffe basieren auf der Verwendung von Informationen wie Leistungszuständen, Wartezeiten und sogar Geräuschen, die direkt vom Prozessor stammen, um daraus Rückschlüsse auf Datennutzungsmuster zu ziehen. Diese Angriffe sind äußerst komplex und schwer auszuführen. Sie erfordern Sicherheitsverletzungen auf mehreren Rechenzentrumsebenen eines Unternehmens, und zwar auf der physischen, der Netzwerk- und der Systemebene.
Hacker verfolgen in der Regel den Weg des geringsten Widerstands. Heute ist dies üblicherweise der Angriff auf Software. Intel® SGX wurden zwar nicht speziell für den Schutz vor Seitenkanalattacken entwickelt, bieten aber eine Möglichkeit, Code und Daten zu isolieren und stellen damit für Angreifer eine deutlich größere Hürde dar. Intel arbeitet weiterhin konsequent gemeinsam mit Kunden und der Forschungsgemeinschaft an der Identifizierung potenzieller Seitenkanalangriffe und der Minderung der damit einhergehenden Risiken. Trotz der Existenz von Seitenkanalschwachstellen bieten Intel® SGX ein wertvolles Werkzeug, da sie eine wirkungsvolle zusätzliche Schutzebene bereitstellen.
Sollte ich auf Intel® SGX vertrauen?
Intel® SGX sind das am umfassendsten getestete, erforschte und eingesetzte hardwarebasierte Trusted Execution Environment (TEE) für Rechenzentren, das innerhalb des Systems die kleinste Angriffsfläche bietet. Wenn Sie strenge Datenschutz- und Sicherheitsanforderungen haben, bietet Intel® SGX einen klaren strategischen Vorteil.
Die gute Nachricht für Kunden, die durch die Intel® SGX geschützt sind, ist folgende: Diese Erweiterungen tragen nicht nur zum Schutz vor der Vielzahl der häufiger vorkommenden Software-basierten Angriffe bei, sondern die Attestierungsmechanismen der Intel® SGX ermöglichen es Ihnen zudem, eine Verifizierung anzufordern, dass Ihre Anwendung nicht kompromittiert wurde und dass der Prozessor, auf dem sie läuft, über die neuesten Sicherheitsupdates verfügt.
Intel® SGX schützen vor Tausenden2 bekannter und unbekannter Bedrohungen, für die es häufig noch keine andere Risikominderung gibt. Mit Intel® SGX sind Ihr Code und Ihre Daten wesentlich besser geschützt als ohne diese Erweiterungen.