Fragen? Antworten! Siehe auch: Alternativlos
SGX war mit großem Tamtam als Sicherheitstechnologie gestartet. Die Idee war, dass es in der CPU eine "sichere Enklave" gibt, in der du deinen besonders krass sensiblen Code reintun kannst, also z.B. sowas wie den Public-Key-Code in einer TLS-Library. Die könnte dann Operationen exponieren, über die man TLS implementieren kann, aber niemand außer der Enklave müsste den Private Key im Speicher haben, wo er von einem Angreifer geklaut werden kann.
In der Praxis stellt sich dann aber raus, dass das praktisch nicht sicher einsetzbar ist. Nicht nur weil die exponierten APIs ja dann bombensicher und luftdicht sein müssen, sondern auch weil Intel es nicht geschafft hat, die SGX wirklich abzutrennen. Die ganzen SPECTRE-Varianten, die euch nie wirklich betroffen haben als Privatpersonen? Die haben alle SGX betroffen. Und Intel hat es nicht geschafft, den Scheiß abzusichern.
Daher ist der neue Weg jetzt, dass die Management Engine Fremdmodule zulässt. Also nicht von dir und mir, aber von sagen wir mal einem OEM wie Lenovo. Die könnten ein Modul in die Management Engine packen, mit dem man 4K-Blurays abspielen kann. Das Memo hat aber die Bluray Association noch nicht gekriegt und erlaubt schon formal nur 4K-Bluray-Playback auf Rechnern mit SGX.
Ja gut, betrifft mich nicht. Blurays sind tot. Heute streamt man 4k aus dem Netz.
Aber mir fällt gerade auf, dass der Artikel am Rande notiert, dass auch die Xeons kein SGX mehr haben.
Und DAS ist ein Paukenschlag, meine Damen und Herren. Denn das SGX in den Xeons ist das Feigenblatt für viele feuchte Cryptocurrency-Träume. Beispielsweise basiert die Sicherheit von Mobilecoin, der neuen "demokratischen Währung", die Signal eingebaut hat, auf SGX. Also nicht nur SGX. Auch ein bisschen Hand Waving :-)
Wenn es jetzt keine SGX-Cloudserver mehr gibt, weil Intel keine CPUs mehr liefert, die das können, dann ist auch Mobilecoin platt. Und mit ihm wahrscheinlich ein Haufen anderer Dinge, mit denen schon ein paar unseriöse Scammer Geld einsammeln gegangen waren.
Gut, betrifft mich jetzt auch nicht direkt, aber ich dachte, ich sag das hier mal an.
Wobei. Was weiß ich schon. Vielleicht macht Intel das per Zuzuahlung freischaltbar. So ala "Schönes Scam-Geschäftsmodell haben Sie da! Wäre ja schade, wenn das bald nicht mehr ginge". Wenn sie schlau sind, kann man das nicht kaufen sondern nur mieten. Mit freischaltbaren CPU-Features hat Intel schon länger geliebäugelt.