20160721

Intel SGX 관련 논문 읽음
Intel SGX와 관련된 논문을 읽어보았다. 지금까지 Intel SGX를 사용한 논문도 읽어보았고, 관련 문서 및 영상도 많이 찾아보았으나 잘 이해하지 못했었다. Enclave에 들어있는 데이터는 SW/HW 공격으로부터 안전하게 보호된다는 사실만 이해하고 있었다. 다음의 논문들을 읽으니 Intel SGX가 어떻게 구성되고, 어떤 역할을 하는지 이해할 수 있을 것 같다.

[HASP'16] SoK: A Study of Using Hardware-assisted Isolated Execution Environments for Security
[HASP'13] Innovative technology for CPU based attestation and sealing
[HASP'13] Using innovative instructions to create trustworthy software solutions
['16] Intel SGX Explained

우선 HASP’16에 발표된 SoK 논문은 하드웨어 기반의 격리 기법에 대해 정리한 논문이다. 하드웨어 기반의 격리 기법의 전반적인 연구 흐름, 그리고 각 기법의 장단점을 이해할 수 있다. HASP’13에 발표된 두 편의 논문과 Intel SGX Explained 논문이 SGX 이해에 큰 도움을 주었다. HASP’13에 발표된 두 편의 논문에서 첫 번째 논문에서는 Intel SGX의 attestation이 어떻게 동작하는지 위주로 설명하고 있고, 두 번째 논문은 Intel SGX를 어떻게 사용할 수 있는지 설명하고 있다. 메모리에 enclave를 어떻게 생성하는지에 대해서는 기존의 문헌을 읽어 이해할 수 있었으나, attestation과 sealing의 개념은 평소에 이해하기 어려웠는데, 이 논문들을 읽으며 쉽게 이해할 수 있었다. Intel SGX Explained 논문은 117쪽에 달하므로, 다 읽으려 하기보다는 HASP’13 논문들에서 이해하지 못한 내용 위주로 읽으면 이해에 큰 도움이 된다. Intel SGX Explained 문서에서는 attestation 데이터 흐름 이해에 도움이 되었다. Intel SGX Explained 논문에 비하면 HASP’13 논문은 아주 추상적으로 기술하고 있다.
오늘 새롭게 이해한 내용을 요약해보면 다음과 같다. Intel SGX 기술을 사용해 메모리에 enclave를 생성하면 소프트웨어 공격 및 물리적인 공격을 막아낼 수 있다. 한 가지 주의할 점은, enclave를 사용하는 바이너리가 민감한 데이터를 직접 갖고 있는 것이 아니라는 점이다. 먼저 프로그램이 enclave를 생성하고, 안전한 enclave를 생성했음을 로컬 또는 외부의 서비스 제공자에게 attestation한다. Attestation되어 올바른 enclave로 판명된다면 서비스 제공자는 enclave와 암호화된 연결을 수립하고, 암호화된 연결을 통해 기밀 정보를 enclave 내로 전송한다. 어플리케이션은 앞서 가져온 코드와 데이터, 그리고 받아온 기밀 정보를 사용해 enclave 내에서 연산을 수행한다. 만약 기밀 데이터를 enclave 밖의 스토리지에 저장해야 한다면 sealing을 암호화하여 안전하게 저장한다.

Advertisements
Tagged with: , , , , , , , , , , , ,
Posted in 1) Memo

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

누적 방문자 수
  • 91,344 hits
%d bloggers like this: