Linuxeden开源社区“构建可信链条对隐私有需求的个人设备以及高安全性的云环境一直是重要的议题,传统 Root of Trust 构建基本上由 verifiedboot 以及 measuredboot 完成(参见hardenedboot),随着 Intel SGX 以及 ARM 平台 TEE 的推广,虽然当前云环境中主要的需求 attestation 并不需要 secure enclave 来实现,但这并不阻碍 secure enclave 被业界越来越关注,早在 2016 年,MIT 的研究人员就在 Sanctum 项目中尝试使用 RISC-V 实现 Intel SGX 类似的功能基础PoC,最新版本的Sanctum使用Rocket开放核实现了PUF,attestation以及verifiedboot相关的构建信任链条的核心功能。同时,MIT和UC Berkeley合作开发了另外一个叫Keystone的项目,Keystone在Sanctum的基础上使用了PMP(类似软件中PaX UDEREF)以增强本身的安全性,不论是Sanctum还是Keystone都是开放的设计和实现,也就意味着任何人都可以去审计后门和漏洞,这一点和Intel SGX的复杂且封闭的设计和实现完全不同,这也意味着一个让Google都感到害怕的Intel ME系统可以由从硬件到软件都是自由开放的系统来替换。”
转自 http://newswww.solidot.org/story?sid=56661