护城河

护城河:验证飞地计划的机密性。安全关键型应用程序经常面临来自较低计算层(如操作系统、虚拟机监视器)的攻击的威胁,甚至来自恶意管理员的攻击。为了帮助保护应用程序机密不受此类攻击,人们对可信计算原语的硬件实现越来越感兴趣,例如Intel的软件保护扩展(Software Guard Extensions,SGX)指令。这些原语支持对包含代码和数据的内存区域进行硬件保护,并为测量、远程证明和加密密封提供信任根。然而,应用程序本身的漏洞,如不正确使用SGX指令或内存安全错误,都可能被用来泄露机密。在本文中,我们介绍了一种新的方法来形式化地建模这些原语,并正式地验证使用它们的所谓enclave程序的属性。更具体地说,我们创建了SGX相关方面的形式化模型,开发了几个对手模型,并提出了一种可靠的验证方法(基于自动定理证明和信息流分析)证明在SGX上运行的enclave程序不包含导致其向对手泄露机密的漏洞。我们介绍Moat,一个正式验证运行在SGX上的应用程序的机密性的工具。我们在几个应用程序上评估Moat,包括一次性密码方案、记录外消息传递、公证服务和安全查询处理。

此软件的关键字

这里的任何内容都将在支持canvas元素的浏览器上被替换