Em uma nova instalação do Linux Mint 22 Cinnamon (baseado no Ubuntu 24.04), eu dei uma olhada dmesge fiz uma descoberta possivelmente interessante : o novo kernel Linux 6.8 me mostrou um aviso de que eu tinha o Intel SGX desabilitado no meu UEFI BIOS, então eu o habilitei com este resultado:
# dmesg | grep -i sgx
[ 0.442210] sgx: EPC section 0x60200000-0x65f7ffff
Não notei isso no kernel Linux 5.15, mas isso também pode ser causado pelo fato de eu não estar procurando por isso.
Então, naturalmente minha pergunta seria: Como o kernel Linux usa o Intel SGX?
Para completar, procurei algum artigo sobre o assunto, mas achei muito técnico (para mim):
Estou procurando uma resposta mais ou menos simples , e se não for possível simplificá-la, tente modificar sua resposta para a base da necessidade de saber. Muito obrigado!
Além disso, encontrei esta descrição:
Intel Software Guard Extensions (SGX) é um conjunto de códigos de instrução que cria um ambiente seguro dentro das CPUs Intel, permitindo a criação de regiões de memória privada protegidas chamadas enclaves. SGX é usado para computação remota segura, navegação na web, DRM, ocultação de algoritmos proprietários e chaves de criptografia. Foi introduzido pela primeira vez em 2015 com os processadores Intel Core de sexta geração e foi projetado para aplicativos seguros, como gerenciamento de direitos digitais e navegação segura na web.
O kernel não usa (atualmente) o SGX em si, tudo o que ele faz é fornecer suporte para que os programas possam usá-lo. Isso inclui lidar com o SGX Enclave Page Cache (nada a ver com o cache de página regular do Linux), já que configurá-lo envolve operações privilegiadas. O kernel também fornece tratamento de exceção específico do SGX no vDSO para simplificar o tratamento de sinais.
Quanto a quais programas usam SGX, não estou ciente de muitos. Alguns deles são significativos, pelo menos se você estiver interessado em proteger cargas de trabalho em hosts não confiáveis: a infraestrutura que suporta Contêineres Confidenciais pode executar contêineres sem permitir que o host veja o que está acontecendo dentro deles. Veja também esta postagem do blog Kubernetes de julho de 2023 sobre computação confidencial .