ویژگی Intel SGX چیست و چرا باید آن را فعال کنیم؟

ویژگی Intel SGX یک قابلیت مهم امنیتی است که از حساس ترین داده های شما در برابر دسترسی غیرمجاز محافظت می کند. در اینجا نحوه کار با آن آمده است.

به گزارش تکناک، رایانه های شخصی مدرن مجهز به آنتی ویروس های بسیار توانمندی هستند، از جمله چندین مقررات ایمنی برای محافظت از داده های ارزشمند شما در برابر ویروس ها، جاسوس افزارها، کی لاگرها و سایر بدافزارها. اما اگر حداکثر اقدامات امنیتی را می‌خواهید، ویژگی‌های احتیاطی بیشتری وجود دارد که می‌توانید به آنها توجه کنید.

یکی از این ویژگی ها Intel SGX است که برای توسعه دهندگان و سازمان هایی که نیاز به محافظت در برابر آسیب پذیری های امنیتی در بسیاری از برنامه ها و فایل های اجرایی دارند، عالی است. در این مقاله، همه چیزهایی را که باید در مورد SGX بدانید، از جمله مزایا، معایب و روش فعال کردن آن در پردازنده رده بالا را مرور خواهیم کرد.

Intel SGX چیست؟

Intel Software Guard Extensions (SGX) قابلیتی است که از رمزگذاری در سطح سخت افزار برای محافظت از داده های حساس شما در برابر نقض های امنیتی استفاده می کند. SGX از Enclaves استفاده می کند که محیط های قابل اعتماد رمزگذاری شده در حافظه هستند. این مناطق جدا شده توسط برنامه‌ها برای ذخیره داده‌های محرمانه استفاده می‌شوند و RAM اشغال شده توسط enclave توسط هیچ فرآیند، برنامه یا سیستم عاملی قابل استفاده نیست. از آنجایی که کلید رمزگشایی اطلاعات در اختیار پردازنده است، دسترسی غیرمجاز به داده‌های ذخیره شده در یک محیط محصور  بسیار دشوار است.

هر برنامه ای که با SGX توسعه یافته است دارای قطعات قابل اعتماد و غیرقابل اعتماد است. هنگامی که برنامه را اجرا می کنید، بخش غیرقابل اعتماد یک بخش محصور در داخل RAM ایجاد می کند. Enclave شامل بخش قابل اعتماد است و مسئول رمزگذاری تمام اطلاعات حساس مورد نیاز برنامه است.

هر زمان که قسمت غیرقابل اعتماد نیاز به دسترسی به enclave داشته باشد، یک عملکرد قابل اعتماد را فرا می‌خواند و برای اجرا به Enclave سوئیچ می کند. پس از اتمام پردازش داده های محرمانه توسط Enclave، برنامه به قسمت غیرقابل اعتماد باز می گردد. در حالی که بخش محصور همچنان به نگه داشتن اطلاعات حساس ادامه می دهد، اجرای عادی خود را نیز از سر می گیرد.

آیا باید از Intel SGX استفاده کنید؟

برای افرادی که به تراشه های Xeon اینتل دسترسی دارند، Intel SGX یک راه عالی برای محافظت از بانک های داده شما در برابر حملات مربوط به نرم افزار است. تسهیلات رمزگذاری سخت‌افزاری همچنین از نفوذ هکرها به داده‌های شما جلوگیری می‌کنند، حتی اگر به نحوی به سخت‌افزار فیزیکی شما، از جمله RAM دسترسی پیدا کنند.

با این حال، برنامه‌هایی که روی برنامه‌های متفرقه محافظ نرم‌افزار اجرا می‌شوند همچنان می‌توانند در معرض خطر قرار بگیرند. به عنوان مثال، SGX در برابر حملات کانال جانبی آسیب پذیر است. اگرچه اینتل توصیه‌های امنیتی را برای رفع چندین نقض امنیتی در گذشته منتشر کرده است، آسیب‌پذیری ÆPIC leak که بر بسیاری از پردازنده‌های Intel Core و Xeon Ice Lake تأثیر می‌گذارد، هنوز اصلاح نشده است. بعلاوه، اگر کدهای دارای بدافزار در داخل بخش محصور اجرا شوند، همچنان ممکن است باعث آسیب شوند.

چگونه Intel SGX را فعال کنیم؟

SGX به نسل ششم سری Skylake اضافه شد، اگرچه اینتل این ویژگی را برای تمام پردازنده‌های Core اینتل که از خانواده Tiger Lake (نسل یازدهم) شروع می‌شد، منسوخ کرد. به این ترتیب، تنها در صورتی می‌توانید به SGX دسترسی داشته باشید که پردازنده قدیمی‌تری از اینتل Core را داشته باشید.

در همین حال، SGX در پردازنده‌های Intel Xeon E که پس از سال 2019 منتشر شدند، آشکار تر است.

مراحل دقیق فعال کردن Intel SGX بسته به مدل CPU شما متفاوت است. صرف نظر از این، اولین قدم نصب برنامه فعال سازی Intel SGX از فروشگاه مایکروسافت است:

1. به فروشگاه مایکروسافت بروید.
2. دکمه دانلود را فشار دهید و هنگامی که مرورگر وب از شما درخواست کرد، Open Microsoft Store را انتخاب کنید.
3. بر روی دکمه Install کلیک کنید.
4. پس از نصب، منوی Start را باز کنید و قبل از انتخاب گزینه More و Run as administrator روی برنامه Intel SGX کلیک راست کنید.
5. برای فعال کردن Intel SGX بر روی Activate کلیک کنید.
6. دکمه Activate خاکستری می شود و برنامه پیام Intel SGX is activated را نمایش می دهد.

اگر خطایی نشان داده شد، باید چند مرحله دیگر را انجام دهید.

درایورهای Intel Management Engine را نصب کنید

برخی از پردازنده‌ها، مانند Intel Core i7-7700HQ، ممکن است نیاز به نصب درایورهای Intel Management Engine داشته باشند.

2. برای دانلود درایورها از این لینک استفاده کنید.
3. پوشه را از حالت فشرده خارج کرده و exe را با حقوق مدیریت اجرا کنید.
4. در صفحه خوش آمدگویی روی Next کلیک کنید.
5. قبل از زدن Next، موافقت نامه مجوز را بپذیرید.
6. بر روی دکمه Finish کلیک کنید تا نصب به پایان برسد.

تنظیمات BIOS را تغییر دهید

از سوی دیگر، برخی از CPU ها ممکن است از شما بخواهند که Intel SGX را فعال کرده و برخی تنظیمات را در BIOS تغییر دهید.

1. سیستم خود را مجددا راه اندازی کنید و برای ورود به BIOS روی حذف ضربه بزنید.
2. اگر از لپ تاپ استفاده می کنید، می توانید با استفاده از کلید F2 وارد بایوس شوید.
3. به تب Advanced بروید و Memory Configuration را باز کنید.
4. تنظیمات Memory Mirroring Possible، UMA-Based Clustering، Patrol Scrub و Mirror Mode را به Disabled تغییر دهید.
5. گزینه Memory Corrected Error را روی Enabled قرار دهید.
6. به تب Advanced برگردید و وارد Processor Configuration شوید.
7. رمزگذاری کل حافظه (TME) و Intel SGX را روی Enabled تنظیم کنید.

توجه داشته باشید که برخی از این گزینه ها بسته به برند لپ تاپ و بایوس شما ممکن است نام های مختلفی داشته باشند.

Intel SGX: یک لایه حفاظتی فوق العاده برای توسعه دهندگان

علیرغم ایرادات و مشکلاتی که برای فعال کردن آن باید متحمل شوید، Intel SGX یک راه عالی برای افزایش امنیت فایل های اجرایی است. متأسفانه، یافتن پردازنده‌ای که با آن سازگار باشد دشوار است. بعلاوه، کاربر معمولی بهتر است به جای جستجوی یک پردازنده قدیمی یا یک تراشه Xeon اینتل درجه یک سازمانی، فقط برای فعال کردن نرم افزار Guard Extensions، یک CPU  مدرن تهیه کند.