增強(qiáng)硬件安全，Linux 6.2 為英特爾 SGX 引入異步退出通知機(jī)制

12 月 15 日消息，正在開發(fā)狀態(tài)下的 Linux 6.2 在引入 TDX 訪客認(rèn)證支持之外，還計(jì)劃為英特爾的英特爾軟件防護(hù)擴(kuò)展（SGX）引入異步退出通知（Asynchronous Exit Notification）機(jī)制，從而進(jìn)一步增強(qiáng)硬件安全。

Linux 6.2 內(nèi)核合并的最新 SGX 代碼，可以安全地使用新英特爾 CPU 的異步退出(AEX)通知機(jī)制。AEX 通知路徑允許在退出事件上運(yùn)行一個(gè)處理程序，這反過來又可以緩解 SGX-Step 漏洞等問題。對 AEX Notify 的支持有助于加強(qiáng)英特爾 SGX 周圍的防御，以防止整類攻擊。

IT之家了解到，隨著現(xiàn)在 Linux 6.2 中 x86 / sgx 代碼的合并，AEX Notify 支持在裸機(jī)(Bare-metal)用戶空間運(yùn)行環(huán)境(enclave)和 KVM 虛擬機(jī)(VM)中使用，以更好地保護(hù)支持處理器上的 SGX 用戶空間運(yùn)行環(huán)境。

除了 SGX AEX Notify 和 TDX 客體認(rèn)證，Linux 6.2 的其它安全改進(jìn)還包括用于降低 Skylake 時(shí)代處理器 Retbleed 開銷的 Call Depth Tracking，F(xiàn)ineIBT 作為支持間接分支跟蹤(IBT)的 CPU 的控制流完整性選項(xiàng)，以及常規(guī)的安全改進(jìn)。

IT之家了解到，英特爾軟件防護(hù)擴(kuò)展是一組安全相關(guān)的指令，它被內(nèi)置于一些現(xiàn)代 Intel 中央處理器中。它們允許用戶態(tài)及內(nèi)核態(tài)代碼定義將特定內(nèi)存區(qū)域，設(shè)置為私有區(qū)域，此區(qū)域也被稱作飛地。其內(nèi)容受到保護(hù)，不能被本身以外的任何進(jìn)程存取，包括以更高權(quán)限級別運(yùn)行的進(jìn)程。CPU 對受 SGX 保護(hù)的內(nèi)存進(jìn)行加密處理。