CPU Intel masa depan dan beberapa prosesor yang ada melalui pembaruan mikrokode akan mendukung fitur baru yang disebut mekanisme pemberitahuan Asynchronous EXit (AEX) untuk membantu keamanan enklave Software Guard Extensions (SGX). Tambalan untuk kernel Linux sedang menunggu implementasi dukungan Intel AEX Notify ini dengan prosesor yang mumpuni. Mekanisme pemberitahuan Asynchronous EXit (AEX) Intel memungkinkan enklave SGX menjalankan handler setelah peristiwa AEX. Penangan tersebut dapat digunakan untuk hal-hal seperti mengurangi SGX-Step sebagai kerangka kerja serangan untuk kontrol eksekusi enklave yang tepat. SGX-Step
Patch Linux yang tertunda mengkonfirmasi dukungan AEX Notify akan ditemukan pada prosesor yang akan datang (mungkin Sapphire Rapids) serta beberapa prosesor yang ada melalui pembaruan mikrokode. Patch di cabang x86/sgx TIP ini merangkum AEX Notify dan kerja sisi kernel: == AEX Notify Background == “Intel Architecture Instruction Set Extensions and Future Features – Version 45” sudah keluar. Ada bab baru: Asynchronous Enclave Exit Notify dan Fungsi Daun Pengguna EDECCSSA. Keluar enklave dapat berupa sinkron dan konsensual (misalnya EEXIT) atau asinkron (pada interupsi atau kesalahan). Yang asinkron jelas dapat dieksploitasi ke kantong satu langkah, di atasnya hal-hal nakal lainnya dapat dibangun. AEX Notify akan tersedia baik pada prosesor yang akan datang dan pada beberapa prosesor lama melalui pembaruan mikrokode. == Masalah == Serangan-serangan ini saat ini sepenuhnya tidak terlihat di enklave karena perangkat keras melakukan penyimpanan/pemulihan di bawah penutup. Mekanisme Asynchronous Enclave Exit Notify (AEX Notify) memberikan enklave kemampuan untuk mendeteksi dan mengurangi potensi paparan terhadap jenis serangan ini. == Solusi == Tentukan nilai atribut baru untuk AEX Notification. Pastikan atribut dihapus dari daftar atribut yang dipesan. Alih-alih menambahkan ke daftar atribut individu yang dikodekan terbuka, tambahkan daftar atribut yang diberi nama (tidak diizinkan secara default) dan tidak memiliki hak (diizinkan secara default). Tambahkan atribut notify AEX sebagai atribut unprivileged, yang akan menjaga kernel agar tidak menolak enclave dengan setnya. Lihat dokumentasi Intel untuk detail selengkapnya tentang dukungan Asynchronous Enclave Exit Notify.
Tambalan sekarang di x86/sgx TIP menambahkan dukungan untuk memungkinkan enklave aman menggunakan AEX Notify. Sebuah patch terpisah juga dari Intel kemudian mengekspos fungsi daun pengguna EDECCSA ke tamu KVM. Dengan sekarang mengenai area TIP x86, kode tersebut diharapkan akan digabungkan untuk jendela gabungan Linux 6.2 atau mengingat bahwa itu terkait keamanan bahkan dapat dicoba untuk mendarat di Linux 6.1 jika dianggap cukup penting untuk mendapatkan SGX yang lebih aman ini fitur enclave di luar sana untuk membantu mencegah serangan enclave.
Itulah berita seputar Dukungan Intel AEX Notify Disiapkan Untuk Linux Untuk Membantu Meningkatkan Keamanan SGX, semoga bermanfaat. Disadur dari Phoronix.com.