Attention : arrivage de la version 2 des extensions SGX de chez Intel dans le noyau Tux !

Les extensions SGX chez Intel, c’est une couche de sécurité supplémentaire servant à garantir un environnement d’exécution de confiance nommé enclave, même lorsque l’OS est vérolé (enfin, hors canaux auxiliaires...). Reprises dans la dernière architecture Armv9, l’idée est séduisante pour deux applications. D’une part, la protection antivirus : nul ne voudrait avoir ses coordonnées bancaires (au hasard) accessibles, alors autant les cacher du système d’exploitation. L’autre concerne le nuage : déporter un calcul sur un ordinateur distant qui n’est pas administré par vos soins peut mener à des fuites de données, c’est pourquoi la garantie d’Intel dans ce domaine est davantage rassurante.

La première version de SGX a vu le jour avec Skylake, et a depuis été mise à jour en version 2 sur... un nombre inconnu de processeurs, dixit le géant bleu lui-même ! Si nous sommes sûrs que Gemini Lake et Ice Lake en sont pourvus, rien n’est précisé sur le tigre ou Alder Lake... Pourtant, la mouture 2. également nommée Enclave Dynamic Memory Management (EDMM), apporte des améliorations bienvenues, notamment sur les contraintes liées à l’enclave (possibilité de rajouter des threads, ajout dynamique de pages mémoires à celle-ci, modifier ses permissions...).

Étrangement, Linux a été particulièrement lent à rajouter le support de la chose, qui est arrivée il y a moins d’un an seulement, sur la version 5.11 (février 2021) ; avec un ajout sur la 5.13 (juin 2021) pour le gérer au sein de machines virtuelles via le passthrough KVM. Désormais, une série de patchs - 2 600 lignes de codes, tout de même - vient de rajouter le support de SGX2 qui, non, n’a définitivement rien à voir avec Stargate : reste encore à passer le processus de revue et à s’insérer dans une fenêtre d’incorporation des rustines pour une version grand public. Quelle galère (pour la bonne cause) ! (Source : Phoronix)