wolfSSLのFIPS認証に、以下が追加されたことをご報告します。
| Debian 8.7.0 | インテル®Xeon®E3ファミリー(SGX対応) | インテル®x64サーバーシステムR1304SP |
| Windows 10 Pro | インテル®Core™i5(SGX対応) | Dell Latitude™ 7480 |
wolfCryptのFIPS認証済み暗号モジュールは、インテルSGXのエンクレーブ内で実行させて認証されています。サンプルプログラムはLinuxとWindows用に用意しています。
インテル®SGX(ソフトウェア・ガード・エクステンション)はブラックボックスと考えることができます。同じデバイス上で実行されている他のアプリケーションから、その権限にかかわらず、SGX内部を見ることができないからです。セキュリティの観点からは、たとえ悪意のあるソフトウェアがroot権限を含むシステム全体を制御しようとしても、何を試してもこの「ブラックボックス」内のデータにアクセスすることはできないことを意味します。
インテル・エンクレーブは、保存と実行の両方を提供できるユーザーレベルのTEE(Trusted Execution Environment)の一種です。つまり、内部に機密情報を格納することができ、プログラムやアプリケーション全体の機密部分を移動させることができということを意味します。
テスト中、wolfSSLは個々の機能とアプリケーション全体をエンクレーブ内に配置しました。 wolfSSLのサンプルプログラムの1つでは、エンクレーブ内のクライアントの「start_client」、「read」、「write」エントリ/イグジットのみを外に見せています。そのクライアントには、接続する相手と特定の機能が事前にプログラムされています。「start_client」が呼び出されると、SSL / TLSを使用してその相手に接続され、事前にプログラムされたタスクが実行されます。ここではエンクレーブに出し入れするデータは相手との間で送受信される情報だけです。他にも、単一の暗号操作をエンクレーブ内に配置し、平文のデータを渡し、暗号操作の実行によりマスキングされた暗号データを受け取るサンプルがあります。
SGXをお使いで、エンクレーブ内で実行されているFIPS認証済み暗号が必要な場合は、info@wolfssl.jpまでぜひお気軽にご連絡ください。
リソース:
https://software.intel.com/en-us/blogs/2016/12/20/overview-of-an-intel-software-guard-extensions-enclave-life-cycle
さらに詳しい情報は弊社問い合わせ窓口info@wolfssl.jpまでお問い合わせください。
原文: https://www.wolfssl.com/wolfssl-intel-sgx-fips-140-2/
wolfSSLホーム:www.wolfssl.jp (English:www.wolfssl.com)