Linuxeden开源社区HardenedLinux 写道 “继MIT的Sanctum之后,第二个基于RISC-V硬件架构的飞地可信计算开放解决方案Keystone Enclave终于发布了第一个版本,这个版本主要包含用于信任链条原型测试的bootrom,用于测试的busybear-linux,RISCV的GNU工具链,包含Keystone驱动的linux内核,基于riscv-pk实现的运行于机器模式的安全监控器,开发包和特权模式的运行时以及demo, 目前Keystone在QEMU,FireSim以及HiFive Unleashed平台上都可以完成基础测试。RISC-V处理器要完整应用Keystone需要做少量修改实现信任根,另外硬件生产过程中所面临的硬件熵相关的PUF方案以及key管理的挑战Sanctum已经有所考虑,Keystone社区未来会持续改进。Sanctum/Keystone作为开放的飞地可信计算方案是很好的开端,中长期可以在一些场景中替代连GCP都未启用的不可审计的Intel SGX,虽然L1TF的曝光让Intel SGX神话的破灭,但开放的飞地方案并不代表安全,开放方案仅仅是带来了可审计性,而RISC-V最大的优势在于可审计性,这也是HardenedLinux社区一直都在推动基于coreboot的RISC-V自由固件的原因。”
转自 https://www.solidot.org/story?sid=58873