アカウント名:
パスワード:
DRMでのIntel SGXの有効性はどこまであるのでしょう?QEMUなどの互換実装上で動かされたらそれまででは?
仮想マシン上ではどうやってもONに出来ないんじゃないかな。業界を巻き込んだ新規格というような大仰なものでなくても、DRM付き電子書籍リーダの類が「このOSは仮想マシン上で実行さているので起動したくないです」とごねて起動しなかったりする。
せっかくハードウェア仕様まで設計して安全な規格を作ろうって言うんだから、実機の署名が確認出来て直接動いているとき以外はOFFとか設計するでしょ。仮想マシンに対応させるんでも、仮想マシンホストアプリのバイナリにも要署名で、もちろん、ゲストOSのSGX機能もハードウェアと連携させて、直接実行させたときと同等の保護を与える仕様のホストアプリにしか認証を下ろさないとか。
マルウェア等の仮想環境検出と、仮想マシンの仮想環境検出防止はイタチごっこなので、どこまで有効性あるのかが気になります。
様々な手法による仮想環境検出ツールhttps://github.com/a0rtega/pafish [github.com]VirtualBox用の仮想環境検出防止スクリプトhttps://github.com/nsmfoo/antivmdetection [github.com]
ハードウェアサポートが入ると、IntelやらMicrosoftやらが保持している秘密鍵がバレない限り突破不可能、ぐらいにまでになってイタチごっこが終わるんじゃないのかな。
それはそうですが、現在のIntel SGXではenclaveコードが暗号化できないらしいですし…。
https://www.blackhat.com/docs/us-16/materials/us-16-Aumasson-SGX-Secur... [blackhat.com]> Although an enclave's code is not encrypted, it can provide a public key> to remote clients, who will send encrypted code to be executed securely.
# 暗号化できても、それはそれで危険
暗号化できないんじゃなくて、しなくても問題ない仕組みだって文だよ、そこ。インテルともあろう会社が今時、QEMUで動かす程度で破れるような仕組みをセキュリティー機能と称して売るわけないでしょ。よく読んでみ。
違います。そのPDFによれば、誰も暗号化できないとのこと。>At the moment, not anyone can build secure enclaves and distribute them to run arbitrarily.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
Intel SGXの有効性はどこまで? (スコア:0)
DRMでのIntel SGXの有効性はどこまであるのでしょう?
QEMUなどの互換実装上で動かされたらそれまででは?
Re: (スコア:0)
仮想マシン上ではどうやってもONに出来ないんじゃないかな。
業界を巻き込んだ新規格というような大仰なものでなくても、DRM付き電子書籍リーダの類が「このOSは仮想マシン上で実行さているので起動したくないです」とごねて起動しなかったりする。
せっかくハードウェア仕様まで設計して安全な規格を作ろうって言うんだから、実機の署名が確認出来て直接動いているとき以外はOFFとか設計するでしょ。仮想マシンに対応させるんでも、仮想マシンホストアプリのバイナリにも要署名で、もちろん、ゲストOSのSGX機能もハードウェアと連携させて、直接実行させたときと同等の保護を与える仕様のホストアプリにしか認証を下ろさないとか。
Re: (スコア:0)
マルウェア等の仮想環境検出と、仮想マシンの仮想環境検出防止はイタチごっこなので、どこまで有効性あるのかが気になります。
様々な手法による仮想環境検出ツール
https://github.com/a0rtega/pafish [github.com]
VirtualBox用の仮想環境検出防止スクリプト
https://github.com/nsmfoo/antivmdetection [github.com]
Re: (スコア:0)
ハードウェアサポートが入ると、IntelやらMicrosoftやらが保持している秘密鍵がバレない限り突破不可能、ぐらいにまでになってイタチごっこが終わるんじゃないのかな。
Re:Intel SGXの有効性はどこまで? (スコア:0)
それはそうですが、現在のIntel SGXではenclaveコードが暗号化できないらしいですし…。
https://www.blackhat.com/docs/us-16/materials/us-16-Aumasson-SGX-Secur... [blackhat.com]
> Although an enclave's code is not encrypted, it can provide a public key
> to remote clients, who will send encrypted code to be executed securely.
# 暗号化できても、それはそれで危険
Re: (スコア:0)
暗号化できないんじゃなくて、しなくても問題ない仕組みだって文だよ、そこ。
インテルともあろう会社が今時、QEMUで動かす程度で破れるような仕組みを
セキュリティー機能と称して売るわけないでしょ。よく読んでみ。
Re: (スコア:0)
違います。そのPDFによれば、誰も暗号化できないとのこと。
>At the moment, not anyone can build secure enclaves and distribute them to run arbitrarily.