增強硬件安全，Linux 6.2 為英特爾 SGX 引入異步退出通知機制

12 月 15 日消息，正在開發(fā)狀態(tài)下的 Linux 6.2 在引入 TDX 訪客認證支持之外，還計劃為英特爾的英特爾軟件防護擴展（SGX）引入異步退出通知（Asynchronous Exit Notification）機制，從而進一步增強硬件安全。

Linux 6.2 內(nèi)核合并的最新 SGX 代碼，可以安全地使用新英特爾 CPU 的異步退出(AEX)通知機制。AEX 通知路徑允許在退出事件上運行一個處理程序，這反過來又可以緩解 SGX-Step 漏洞等問題。對 AEX Notify 的支持有助于加強英特爾 SGX 周圍的防御，以防止整類攻擊。

IT之家了解到，隨著現(xiàn)在 Linux 6.2 中 x86 / sgx 代碼的合并，AEX Notify 支持在裸機(Bare-metal)用戶空間運行環(huán)境(enclave)和 KVM 虛擬機(VM)中使用，以更好地保護支持處理器上的 SGX 用戶空間運行環(huán)境。

除了 SGX AEX Notify 和 TDX 客體認證，Linux 6.2 的其它安全改進還包括用于降低 Skylake 時代處理器 Retbleed 開銷的 Call Depth Tracking，F(xiàn)ineIBT 作為支持間接分支跟蹤(IBT)的 CPU 的控制流完整性選項，以及常規(guī)的安全改進。

IT之家了解到，英特爾軟件防護擴展是一組安全相關(guān)的指令，它被內(nèi)置于一些現(xiàn)代 Intel 中央處理器中。它們允許用戶態(tài)及內(nèi)核態(tài)代碼定義將特定內(nèi)存區(qū)域，設(shè)置為私有區(qū)域，此區(qū)域也被稱作飛地。其內(nèi)容受到保護，不能被本身以外的任何進程存取，包括以更高權(quán)限級別運行的進程。CPU 對受 SGX 保護的內(nèi)存進行加密處理。