c't 7/2019
S. 43
News
Server & Storage

Sichere SGX-Enklaven zum Nachrüsten

Mit der Intel SGX Card lassen sich Software Guard Extensions für verschlüsselte RAM-Enklaven nachrüsten Bild: Intel

Intels Software Guard Extensions (SGX) können Programmierer nutzen, um sensible Daten in verschlüsselten Enklaven des Hauptspeichers zu schützen. Mit Intels SGX Card lässt sich SGX bei vorhandenen (Cloud-)Servern nachrüsten. SGX beherrschen erst die aktuellen Xeon-Versionen Xeon-SP und Xeon E-2100, aber nicht die verbreiteten Xeon E5. Die Intel SGX Card enthält drei Xeon E-2100 mit SGX. Bis zu vier Karten lassen sich in einen Server stecken, der dann zwölf SGX-Prozessoren hat.

Zu den Anwendungen, die SGX nutzen können, gehört etwa Google Asylo. Voraussetzung für den produktiven Einsatz von SGX ist allerdings ein Vertrag mit Intel sowie ein X.509-Zertifikat für die Codesignatur. Die SGX-Karten sollen später in diesem Jahr verfügbar sein, ein genaues Datum und Preise nennt Intel nicht.

Die RAM-Verschlüsselung geht weit über bisherige Schutzmaßnahmen heraus. Nicht einmal Administratoren mit physischem Zugriff auf den Server können damit Informationen in einer virtuellen Maschine lesen. Und selbst wenn ein System bereits mit Malware befallen ist, sollen vertrauenswürdige Operationen weiter in verschlüsselten Enklaven möglich sein.

Wie SGX im Detail funktioniert, steht in c’t 10/2018 ab S. 174. Eine Liste von Hardware mit SGX-Unterstützung findet sich auf GitHub, unterteilt unter anderem nach Prozessoren, Desktop-Mainboards und Notebooks (ct.de/ydhz). (ciw@ct.de)

Kommentieren