Mientras que Intel Software Guard La funcionalidad de extensiones (SGX) ha estado presente en las CPU que se remontan a Skylake, fue necesario hasta el año pasado con Linux 5.11 para que el soporte SGX finalmente se mantuviera generalizado y requirió más de 40 rondas de revisión/revisiones. Finalmente, hoy Intel publicó parches para presentar SGX2 como la próxima iteración de Software Guard Extensions y ya se encuentran en los procesadores de envío.
Intel SGX se trata de definir regiones de memoria privada”enclaves”que están encriptadas y no pueden ser leídas/utilizadas por ningún otro proceso o el host. SGX se puede utilizar para algunos escenarios informáticos seguros interesantes, pero el soporte tardío del kernel, así como varias posibles vulnerabilidades/ataques de seguridad, han limitado su alcance hasta ahora. A principios de este año, basándose en el soporte SGX anterior en Linux 5.11, SGX se incorporó para el soporte de invitados KVM en v5.13.
Hoy se publicaron parches para mostrar el soporte SGX2 en el kernel de Linux. Software Guard Extensions 2 se introdujo con los procesadores Gemini Lake, pero aparentemente también es compatible con Ice Lake, tanto el cliente como las partes escalables de Xeon, y también debería significar Tiger Lake y otros procesadores nuevos. Intel no ha tenido una lista conveniente de SKU SGX1 frente a SGX2 e incluso el GitHub citado en la serie de parches de hoy solo menciona Gemini Lake. Mientras tanto, incluso esta página de Intel.com solo señala Ice Lake y Gemini Lake mientras afirma que”no hay una lista única de procesadores o sistemas que admitan SGX2″. Para complicar aún más la situación, es necesario que el soporte de SGX sea compatible también con el lado del proveedor del sistema/BIOS.
Con SGX2 existe la capacidad de modificar los permisos de páginas de enclave regulares que pertenecen a un enclave, soporte para la adición dinámica de páginas de enclave regulares a un enclave, soporte para eliminar páginas de un enclave y expandir un enclave para permitir más hilos. Todas estas son adiciones útiles para las extensiones de Software Guard. Con las características principalmente en torno al manejo de páginas expandido para enclaves, SGX2 también se conoce como Enclave Dynamic Memory Management (EDMM).
Estos 25 parches enviado por correo hoy modificando 2.6k líneas de código del kernel para que el soporte SGX2 esté en su lugar. El mensaje del parche señala que no se necesitan más cambios para manejar SGX2 en un entorno virtualizado más allá de la habilitación inicial de SGX.
Esperamos que no se necesiten tantas rondas de revisión para actualizar el soporte SGX2 como lo hizo para SGX (1), lo cual no debería ser así ahora que el soporte del enclave base está en su lugar, por lo que es de esperar que alcance un kernel de la línea principal en un futuro no muy lejano.