Facebook награждает приз в размере 100 тысяч долларов за изоляцию кода с помощью MPK


Команда специалистов по обработке данных из шести человек была награждена в этом году премией за защиту Интернета в размере 100 тысяч долларов от Facebook. Команда разработала новый метод аппаратной изоляции конфиденциального состояния и данных с помощью ключей защиты памяти.

Премия Facebook в области защиты Интернета вручается ежегодно за исследования, представленные на конференции по безопасности USENIX, которые существенно делают Интернет более безопасным. Премия, созданная в 2014 году, финансируется Facebook и предлагается в партнерстве с USENIX.

Чтобы претендовать на премию, исследователи должны предоставить рабочий прототип, демонстрирующий значительный вклад в безопасность Интернета, особенно в областях предотвращения и защиты. Направление исследований более важно, чем прогресс на сегодняшний день, и идея состоит в том, что победители используют награду, чтобы вывести свой прототип на новый уровень для чего-то практического, доступного и высокоэффективного.

Предыдущие победители конкурса включали проекты по политике сторонних файлов cookie и обнаружению Credential Spearphishing в корпоративных настройках.

Победители этого года от Института программных систем Макса Планка, Анджо Валдик-Обервагнер, Эслам Эльникети, Нуно О. Дуарте, Майкл Сэммлер, Питер Друшель и Дипак Гарг исследуют безопасную и эффективную изоляцию в процессе с помощью ключей защиты памяти (MPK). . MPK были недавно добавлены к процессорам x86, чтобы включить переключение домена защиты в пользовательском пространстве, с двоичной проверкой для предотвращения обхода.

Исследование призвано предоставить альтернативный способ изоляции конфиденциального состояния и данных. Хотя это уже можно сделать с помощью аппаратной изоляции на основе страниц, это возможно только в том случае, если ссылки среды выполнения через границы изоляции встречаются относительно нечасто. Такие приложения, как изоляция криптографических ключей сеанса в сетевых службах, требуют очень частого переключения домена. В таких приложениях накладные расходы на переключение домена через ядро или гипервизор недопустимы.

Исследователи показали, что их метод, названный ERIM, относящийся к безопасной, эффективной изоляции в процессе с помощью ключей защиты (MKP), может быть применен с небольшими усилиями к новым и существующим приложениям, не требует изменений компилятора, может работать на стандартном Linux. ядро и имеет низкие накладные расходы времени выполнения даже при высокой скорости переключения домена. Полный текст статьи доступен в формате PDF.


Добавить комментарий