Arm 機密運算架構

Arm 機密運算架構

我們對 Arm 機密運算架構 (CCA) 的願景,是在任何運算地點保護所有的資料與程式碼,藉此釋放出資料與人工智慧的強大威力與潛力。Arm 機密運算架構是 Armv9-A 架構的關鍵元件,可協助我們達成目標,為使用微處理器的每個產業部門,開啟機密運算的各種效益。

閱讀部落格

機密運算:Arm 架構的全新信任模式

運算已成為分散式公用程式,其中運算的工作階段可於任何符合所需安全性原則的平台上運行。在這樣的環境中,信任運算公用程式基礎建設的能力至為關鍵,以確保人員能夠對資訊的安全性及隱私具有信心。這類運算基礎建設可說是網路罪犯的主要目標,試圖從中竊取資料與程式碼。機密運算是範圍廣泛的詞彙,代表能夠減少信任運算基礎建設需求的各種技術,例如需要讓程序信任作業系統內核,或是需要讓虛擬機器信任虛擬機管理器。各種威脅持續延伸到所有產業部門,而 Arm 架構在各式各樣的型態與市場中獨樹一幟,我們的合作夥伴使用現有的 Armv8-A 裝置,在 Arm 架構的系統上積極創新並提供機密運算。

適用於存取控制的機密領域管理擴充 

Armv9-A 導入的 Arm 機密運算架構,是一系列軟硬體架構創新的最新成果,可將廣泛採用的機密運算,延伸至使用微處理器的每個產業部門。Arm 機密運算架構奠基於強大的 TrustZone 安全性基礎,並導入動態建立機密領域的概念,可說是演進發展的革命性成果。

適用於存取控制的機密領域管理擴充

新推出的機密領域管理擴充 (RME) 可在硬體層級保護所有資料與程式碼,即使在使用中也沒問題,能夠更好管制資料與演算法的存取對象。這項技術可以釋放資料共享與人工智慧的真正威力與潛力。

 

RME 支援名為機密領域的全新類別之可證實的隔離環境。機密領域可將機密運算延伸至所有軟體開發人員,協助安全運算普及化。這項技術也能進一步讓供應商從不會存取客戶資料,轉變為無法存取客戶資料。RME 可降低必須取得信任的軟體數量、曝露於駭客攻擊的受攻擊面,以及客戶資料外洩的可能性。

 

機密領域為一般程式提供額外的執行環境,以便安全處理機密資料。機密領域會與現有的正常及安全區域隔離,也就是目前所謂的 TrustZone。機密領域的安全性原則,是以少量可信任及可證明的軟體進行配置設定。這項軟體原本就與正常區域作業系統及虛擬機管理器隔離,此外也與安全區域虛擬機管理器與可信任的作業系統隔離。

安全執行所有應用程式

Arm 機密運算架構安全性可以讓應用程式以安全的方式執行,以便獲得接受、信任及部署。它利用 Arm 標準化技術促成可交互操作性及可攜性,確保生態系成功。

Arm 機密運算架構的各種效益

為第三方資料與程式碼擁有者充分保護資料和程式碼的安全,讓平台擁有者無法存取。

機密領域可搭配 TrustZone 運作,確保儘可能降低對現有可信任應用程式的影響。

適用於使用微處理器的任何市場或型態。

讓所有開發人員都能平等享有安全運算,並提升擴充能力,不再侷限於與矽晶圓廠商及裝置 OEM 代工廠商密切合作的人員。

機密領域可於虛擬機器層級使用,在 Arm 裝置生態系實現順暢緊密的可攜性。

以原生支援提供證明,讓機密領域擁有者可以驗證並證明基礎平台與機密領域配置的完整性。

機密領域如何在受保護的記憶體空間內執行

機密領域管理擴充 (RME) 為名為機密領域的全新類別之可證明的隔離環境,提供支援。機密領域會與現有的正常及安全區域隔離,也就是目前所謂的 TrustZone。

 

如下圖所示,RME 可保護虛擬機器或容器等主流運算工作負載,避免接觸特殊權限軟體及硬體代理程式,包括虛擬機管理器、正常區域核心,甚至是 TrustZone 應用程式。

機密領域如何在受保護的記憶體空間內執行的示意圖

重新評估信任關係

目前運算成為分散式公用程式,其中運算的工作階段可於任何符合所需安全性原則的平台上運行。信任此運算公用程式基礎建設的能力至為關鍵,以確保人員能夠對資訊的安全性及隱私具有信心。

 

Arm 機密運算

其他資源

註冊以接收 Arm 機密運算架構的最新技術資訊。