Funktionsweise der Intel® Software Guard Extensions (Intel® SGX)

Sicherheitslösungen bieten heute Verschlüsselungsmöglichkeiten für Daten, die sich im Datenspeicher befinden oder im Netzwerk übertragen werden. Allerdings sind Daten während ihrer aktiven Verarbeitung im Arbeitsspeicher weiterhin anfällig für Angriffe. So nennt zum Beispiel die Datenbank Common Vulnerabilities and Exposures (CVE)1 derzeit über 11.000 potenzielle Sicherheitslücken, wobei für 34 Prozent dieser Schwachstellen nach wie vor keine Lösung besteht, das Risiko zu mindern. Indem Intel SGX die Betriebssystemebene und die Software-Ebene virtueller Maschinen (VMs) umgehen, bieten sie deutlich besseren Schutz vor dieser Art von Angriffen. Sie vergrößern die Datensicherheit und stellen eine Lösung für die Forderung nach Confidential Computing, also der Bereitstellung vertrauenswürdiger Umgebungen, bereit. Diese Hardware-verstärkte Sicherheitslösung nutzt Verschlüsselung für Änderungen an der Art des Arbeitsspeicherzugriffs und bietet geschützte Systemspeicherbereiche für die Ausführung von Anwendungen und die Bereitstellung der entsprechenden Daten. Intel SGX ermöglichen zudem die Verifizierung einer Anwendung und der Hardware, auf der diese ausgeführt wird.

Was sind Seitenkanalangriffe und sollte ich angesichts dieser Form von Angriffen beunruhigt sein?

Seitenkanalangriffe basieren auf der Verwendung von Informationen wie Leistungszuständen, Wartezeiten und sogar Geräuschen, die direkt vom Prozessor stammen, um daraus Rückschlüsse auf Datennutzungsmuster zu ziehen. Diese Angriffe sind äußerst komplex und schwer auszuführen. Sie erfordern Sicherheitsverletzungen auf mehreren Rechenzentrumsebenen eines Unternehmens, und zwar auf der physischen, der Netzwerk- und der Systemebene.

Hacker verfolgen in der Regel den Weg des geringsten Widerstands. Heute ist dies üblicherweise der Angriff auf Software. Während Intel SGX nicht speziell für den Schutz vor Seitenkanalangriffen entwickelt wurden, bieten diese Erweiterungen eine Möglichkeit, Code und Daten zu isolieren und sind damit eine deutlich größere Hürde für Angreifer. Intel arbeitet weiterhin konsequent gemeinsam mit Kunden und der Forschungsgemeinschaft an der Identifizierung potenzieller Seitenkanalangriffe und der Minderung der damit einhergehenden Risiken. Trotz der Existenz von Seitenkanalschwachstellen bieten Intel SGX ein wertvolles Werkzeug, da sie eine wirkungsvolle zusätzliche Schutzebene bereitstellen.

Sollte ich auf Intel SGX vertrauen?

Intel SGX sind die am umfassendsten getestete, erforschte und eingesetzte hardwarebasierte vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE) für Rechenzentren, die innerhalb des Systems die kleinste Angriffsfläche bietet. Wenn Sie strenge Datenschutz- und Sicherheitsanforderungen haben, bietet Intel SGX einen klaren strategischen Vorteil.

Die gute Nachricht für Kunden, die durch die Intel SGX geschützt sind, ist Folgende: Diese Erweiterungen tragen nicht nur zum Schutz vor der Vielzahl der häufiger vorkommenden Software-basierten Angriffe bei, sondern die Attestierungsmechanismen ermöglichen es Ihnen zudem, eine Verifizierung anzufordern, dass Ihre Anwendung nicht kompromittiert wurde und dass der Prozessor, auf dem sie läuft, über die neuesten Sicherheitsupdates verfügt.

Intel SGX schützen vor Tausenden2 bekannter und unbekannter Bedrohungen, für die es häufig noch keine andere Risikominderung gibt. Mit Intel SGX sind Ihre Code und Ihre Daten wesentlich besser geschützt als ohne diese Erweiterungen.

FAQs

Häufig gestellte Fragen

Intel SGX erweitern den Schutz um eine zusätzliche Ebene und tragen so dazu bei, die Angriffsfläche zu reduzieren. Intel SGX tragen während der Verarbeitung von Daten zum Schutz von Code und Daten vor Angriffen durch Malware und Privilegienerweiterung bei. Entwickler können direkt in der Prozessor- und Arbeitsspeicherdomäne vertrauenswürdige Umgebungen für die Programmausführung (TEEs, Trusted Execution Environment) erstellen.

Seitenkanalangriffe sind dafür ausgelegt, externe Informationen wie Leistungszustände, Wartezeiten oder sogar Geräusche vom Prozessor abzurufen, um auf Datenaktivitäten und Werte Einfluss zu nehmen.3

Hacker verfolgen in der Regel den Weg des geringsten Widerstands. Heute ist dies üblicherweise der Angriff auf Software. Während Intel SGX nicht speziell für den Schutz vor Seitenkanalangriffen entwickelt wurden, bieten diese Erweiterungen eine Möglichkeit, Code und Daten zu isolieren und damit die Hürde für Angreifer höher zu legen.

Funktionsweise der Intel SGX bei Sicherheitslücken:

  • Zusammenarbeit: Durch unsere kontinuierliche Zusammenarbeit mit Forschern und Partnern, einschließlich unserer Funktion als Gründungsmitglied des Confidential Computing Consortium, können wir Sicherheitslücken schnell identifizieren und Risiken minimieren.
  • Verstärkte Sicherheit: Intel SGX werden regelmäßig aktualisiert, um mit geeigneten Maßnahmen durchgehend vor Angriffen zu schützen.
  • Verifizierung: Mittels Intel SGX können Anwendungen eine Verifizierung anfordern, die bestätigt, dass sie auf einem System laufen, das über aktuelle Patches verfügt und nicht beeinträchtigt ist.

Hinweise und Disclaimer4

Von verschlüsselten Daten zur verschlüsselten Datenverarbeitung

Sehen Sie sich an, wie die Intel SGX durch die Reduzierung der Angriffsfläche eine zusätzliche Abwehrebene schaffen.

Infografik herunterladen

Produkt- und Leistungsinformationen

2Intel SGX sind nicht anfällig für die meisten Angriffe auf Betriebssystemebene, und die Datenbank umfasst heute über 140.000 Bedrohungen. https://cve.mitre.org.
3Mit Stand August 2020 werden Intel SGX bereits in Hunderten von Forschungsberichten genannt.