Материалы по тегу: sgx

11.11.2021 [16:03], Владимир Мироненко

Облачная ИИ-платформа SberCloud ML Space получит новый сервис конфиденциальных вычислений на базе Intel SGX

Облачная платформа SberCloud ML Space, предоставляющая доступ к инструментарию oneAPI, в ближайшем будущем получит сервис конфиденциальных вычислений на базе технологии Intel Software Guard Extensions (Intel SGX). Об этом было сообщено в ходе международной конференции AI Journey 2021. Новый сервис станет доступен в облаке SberCloud в марте 2022 года.

Благодаря использованию Intel SGX новый сервис позволит не только хранить и передавать данные в зашифрованном виде, но и обрабатывать их в защищённом анклаве, позволяющем обеспечить защиту чувствительных данных от многих известных и активных угроз. Доступ в эту защищённую зону закрыт как от проникновения извне, так и для самого провайдера облачных услуг.

Источник изображения: sber.ru

Источник изображения: sber.ru

В мае SberCloud объявил о расширении возможностей облачной платформы ML Space благодаря применению кросс-архитектурной модели программирования oneAPI от Intel. С её помощью разработчики теперь могут использовать возможности различных архитектур без полного переписывания кода для каждой аппаратной платформы.

Давид Рафаловский, CTO Сбера, отметил, что использование инструментов oneAPI позволяет заметно ускорить разработку ИИ-приложений за счёт оптимизации аппаратного обеспечения и софта. Вместе с тем есть необходимость в новом сервисе, который позволит использовать для обучения моделей «очень чувствительные данные, которые необходимо безопасно обрабатывать».

Постоянный URL: http://servernews.ru/1053508
13.08.2021 [00:31], Игорь Осколков

AMD SEV и Intel SGX снова оказались уязвимы, но на этот раз патчи не помогут

Технологии AMD SEV и Intel SGX позволяют создавать защищённые и зашифрованные области в памяти с ограниченным доступом. Первая в большей степени ориентирована на виртуализацию, вторая — на конфиденциальные вычисления. И для обеих исследователи нашли способ обойти защиту и ограничения, причём в обоих случаях используются атаки на аппаратном уровне с манипуляцией напряжением.

В статье, озаглавленной One Glitch to Rule Them All (Один глитч чтобы править всеми), исследователи из Берлинского технического университета (TU Berlin) описывают метод атаки на AMD Platform Secure Processor (PSP), независимый чип, присутствующий во всех процессорах EPYC всех поколений. PSP отвечает за безопасность платформы в целом, и за работу технологии SEV (Secure Encrypted Virtualization) во всех её вариантах. PSP проверяет целостность и корректность прошивок, загружаемых по цепочке во время старта системы.

Первичный загрузчик считывается из необновляемой ROM-области, после чего управление передаётся следующему загрузчику. Он проверяет и запускает внутреннюю ОС (PSP OS) и прошивку SEV, образы которых находятся уже в отдельной флеш-памяти на шине SPI. Атака, упрощённо говоря, сводится к инициированному сбою во время первичного общения PSP c ROM, что позволяет с некоторой долей вероятности заставить PSP посчитать ключ атакующего корректным и затем без проблем загрузить подписанные этим ключом и модифицированные по желанию атакующего образы из флеш-памяти на SPI.

Указанный сбой можно вызвать, точно манипулируя напряжением питания PSP. Для этого исследователи задействовали микроконтроллер Teensy 4.0, который подключался к шинам управления регулятором напряжения и SPI, а также к линии ATX для сброса CPU по питанию. Так как каждый сервер уникален, нужно время на первичную настройку параметров (около получаса), после чего микроконтроллер в автоматическом режиме начнёт атаковать систему со скоростью порядка 1100 попыток в час.

Ограничением в данном случае является тайм-аут линии ATX, поскольку после каждой неудачной попытки необходимо сбрасывать питание CPU. Это увеличивает время загрузки — от старта атаки до получения полного контроля проходит в среднем от 13,5 (Zen 1) до 46,5 (Zen 3) минут. Исследователи оговариваются, что это именно средние значения, так как разброс достаточно велик и неравномерен и не даёт даже приблизительно оценить время успешной атаки.

Схема атаки

Схема атаки

Тем не менее, есть шанс, что увеличенное время загрузки никто не заметит, поскольку крупные системы (в первую очередь с большим объёмом памяти) и так могут загружаться не один десяток минут. В случае успешной атаки её будет весьма трудно обнаружить, поскольку появляется возможность подавить любые дальнейшие проверки и подменить данные внутренней телеметрии.

Основную опасность данный метод атаки представляет для облачных провайдеров и крупных корпоративных заказчиков — модификация сервера может быть произведена в цепочке поставок или сотрудником компании с нужными полномочиями. На подготовку тестовой системы на базе платы Supermicro H11DSU-iN и AMD EPYC 72F3 исследователям понадобилось менее четырёх часов. При это атака очень дешёвая — никакого особого оборудования не нужно, а из расходных материалов требуется только микроконтроллер (примерно $30) и SPI-программатор (около $12).

Маскировка лишних чипов на плате тоже вряд ли вызовет особые проблемы. В целом, данный сценарий очень напоминает историю Bloomberg от 2018 года о «жучках» в серверах Supermicro, поставляемых крупным американским IT-игрокам, которая не нашла официального подтверждения со стороны упомянутых в ней компаний.

Атака на AMD PSP была вдохновлена работой исследователей из Бирмингемского университета, которые развили идеи Plundervolt (CVE-2019-11157) и назвали свой метод VoltPillager. В случае Plundervolt точное манипулирование напряжением CPU позволяла нарушить корректность работы SGX (Software Guard Extensions) и целостность защищённых анклавов памяти, что в итоге позволяло восстановить ключи и получить содержимое анклавов.

Тестовый вариант VoltPillager

Тестовый вариант VoltPillager

Атака требовала привилегированного доступа к системе и точно так же задействовала шину регулятора напряжения (SVID, Serial Voltage Identification). Доступ к этой шине можно было получить программно, так что Intel выпустила соответствующие патчи, позволяющие принудительно отключить эту возможность. Но против модификации «железа» они не помогают. В данном случае требуется только микроконтроллер (тот же Teensy 4.0) и доступ к системе.

И для AMD, и для Intel, по мнению исследователей, для защиты требуется аппаратная модификация самих процессоров, которые, в первую очередь, должны самостоятельно отслеживать питание и команды, управляющие им. Аналогичные методы атаки изучены и для других архитектур и чипов.

Что касается описанных выше методов, то AMD пока никак не прокомментировала ситуацию, а Intel сообщила, что данный метод находится вне фокуса защиты SGX, поскольку подразумевает модификацию «железа». За последние полгода это уже четвёртая атака на AMD SEV — для двух, выявленных весной, и ещё одной, под названием CIPHERLEAKS, признанной на днях, компания уже выпустила патчи и обновления. А Intel SGX успела пострадать и от Spectre, и от других уязвимостей.

Постоянный URL: http://servernews.ru/1046589
09.04.2021 [16:12], Владимир Мироненко

Российский разработчик oneFactor реализовал машинное обучение внутри анклавов Intel SGX

Российский разработчик сервисов искусственного интеллекта oneFactor впервые реализовал тренинг алгоритмов машинного обучения внутри анклавов (защищённой области в адресном пространстве приложения) Intel Software Guard Extensions (Intel SGX) на своей ML-платформе.

Для аналитиков банков это означает возможность сокращения вывода готовой аналитики с нескольких дней до считанных минут. Новое решение позволит повысить качество рекомендаций с применением алгоритмов машинного обучения на 20–35 % по сравнению с раздельной обработкой данных, и ускорить ML-цикл, сократившийся до нескольких часов. Увеличение производительности достигается за счёт комбинации данных различных типов и обучения алгоритмов в зашифрованном виде.

Благодаря использованию технологии Intel Software Guard Extensions (Intel SGX), обеспечивающей защиту данных в анклаве от системных процессов, выполняемых с более высокими уровнями привилегий, клиенты oneFactor могут быть уверены, что код приложения, осуществляющий доступ к личным данным, был проверен и одобрен. Теперь исполняемый код — алгоритм машинного обучения, генерируется непосредственного в анклаве. А в новых процессорах Intel Xeon Ice Lake-SP размер объём анклава может достигать 512 Гбайт, что упрощает работу с такими нагрузками.

Благодаря использованию Intel SGX решение oneFactor позволяет обрабатывать полностью зашифрованные данные в апаратно-защищённой среде. Это позволяет объединять данные разных компаний и индустрий с соблюдением условия конфиденциальности в едином вычислительном облаке, а затем использовать их в рекомендательных сервисах на базе ИИ. Особенностью ML-платформы oneFactor является высокий уровень защиты исходных данных от компрометации на аппаратном уровне, поскольку их «видит» только алгоритм машинного обучения. К ним нет доступа даже у администраторов системы или поставщика облачных сервисов.

oneFactor отметил, что это первое в России коммерческое применение технологии обеспечения конфиденциальности данных для тренировки алгоритмов машинного обучения в финансовом секторе. Данное решение позволит банкам улучшить качество сервисов и обслуживания своих клиентов: от противодействия телефонному мошенничеству до полностью автоматической верификации кредитных заявок. На данный момент к платформе уже подключён ряд крупнейших российских банков.

Постоянный URL: http://servernews.ru/1036948
15.12.2020 [22:08], Андрей Галадей

40+ попыток и годы спустя поддержка Intel SGX, похоже, пропишиется в ядре Linux

Похоже, что давно разрабатываемая поддержка Intel SGX скоро появится в основном ядре Linux. Речь идёт версии 5.11. Отметим, что такой набор инструкций позволяет приложению создавать области в виртуальном адресном пространстве, защищённые от чтения и записи извне этой области другими процессами. Это важно для вычислений, которые требуют повышенных мер безопасности.

На аппаратном уровне инструкции Intel Software Guard Extensions поддерживаются со времен Skylake. Формально возможность их использования в Linux появилась довольно давно, однако Intel до сих пор предлагала поддержку SGX посредством патчей и сборки ядра вне основной ветки.

github.com

Однако теперь есть шансы, что поддержка такой высокоуровневой защиты будет реализована по умолчанию. Intel всё равно продолжит работать над улучшением SGX с аппаратной стороны и настойчиво добиваться поддержки в ядре Linux. Впрочем, за прошедшее время было выявлено сразу несколько уязвимостей в SGX, включая Plundervolt, LVI и вариацию Spectre.

Постоянный URL: http://servernews.ru/1027907
Система Orphus