Но это также вызывает озабоченность по поводу конфиденциальности. Банк облачных серверов может одновременно запускать приложения для 1000 клиентов; Без ведома службы хостинга, одно из этих приложений может иметь единственную цель, кроме слежки за другими 999.Шифрование может сделать облачные серверы более безопасными.
Только когда данные фактически обрабатываются, они могут быть дешифрованы; результаты любых вычислений будут повторно зашифрованы перед отправкой за пределы микросхемы.Однако за последние 10 лет или около того стало ясно, что даже когда компьютер обрабатывает зашифрованные данные, его шаблоны доступа к памяти — частота, с которой он хранит и получает доступ к данным по разным адресам памяти — могут выдать шокирующую цифру. частной информации.
На Международном симпозиуме по компьютерной архитектуре в июне исследователи из Массачусетского технологического института описали новый тип защищенного аппаратного компонента, получивший название Ascend, который маскирует шаблоны доступа к памяти сервера, делая невозможным для злоумышленника сделать какие-либо выводы о хранимых данных. Ascend также предотвращает другой тип атаки, известный как временная атака, которая пытается вывести информацию из количества времени, которое занимают вычисления.Вычислительный компромисс
Подобные конструкции предлагались и раньше, но они, как правило, приносили слишком много вычислительных ресурсов в жертву безопасности. «Это первый раз, когда был предложен какой-либо аппаратный дизайн — он еще не был построен — который обеспечил бы вам такой уровень безопасности, имея при этом лишь примерно в три или четыре раза накладные расходы на производительность», — говорит Шрини Девадас. , профессор электротехники и компьютерных наук Эдвин Сибли Вебстер, группа которого разработала новую систему. «Люди думали, что это будет коэффициент 100».Девадас объясняет, что «тривиальный способ» скрыть шаблоны доступа к памяти — это запросить данные с каждого адреса в памяти — будь то микросхема памяти или жесткий диск — и выбросить все, кроме данных, хранящихся по одному адресу. представляет интерес.
Но на это уйдет слишком много времени, чтобы быть практичным.Вместо этого Девадас и его сотрудники — аспиранты Лин Рен, Сянъяо Ю и Кристофер Флетчер, а также ученый-исследователь Мартен ван Дейк — упорядочивают адреса памяти в структуре данных, известной как «дерево».
Семейное древо — это знакомый пример дерева, в котором каждый «узел» (в данном примере имя человека) прикреплен только к одному узлу над ним (узел, представляющий родителей человека), но может подключаться к нескольким узлам под ним. (дети человека).В Ascend адреса назначаются узлам случайным образом.
Каждый узел лежит на некотором «пути» или маршруте через дерево, который начинается сверху и проходит от узла к узлу без возврата, пока не достигнет узла без дальнейших подключений. Когда процессору требуются данные с определенного адреса, он отправляет запросы на все адреса в пути, который включает в себя тот, после которого он действительно находится.Чтобы злоумышленник не мог вывести что-либо из последовательностей доступа к памяти, каждый раз, когда Ascend обращается к определенному адресу памяти, он случайным образом меняет местами этот адрес с адресом, хранящимся где-то в другом месте в дереве. Как следствие, многократный доступ к одному адресу очень редко требует прохождения одного и того же пути.
Меньше вычислений для маскировки адресаОграничивая свои фиктивные запросы одним путем, а не отправляя их на каждый адрес в памяти, Ascend экспоненциально сокращает объем вычислений, необходимых для маскировки адреса.
В отдельной статье, которая еще не опубликована, но была опубликована в Интернете, исследователи доказывают, что запросы путей обеспечивают такую же безопасность, как и запросы каждого адреса в памяти.Ascend также защищает от временных атак.
Предположим, что вычисление, переданное на аутсорсинг в облако, — это гигантская задача по сравнению фотографии подозреваемого в преступлении, сделанной с камеры наблюдения, со случайными фотографиями в сети. Сама фотография наблюдения будет зашифрована и, таким образом, защищена от посторонних глаз. Но шпионское ПО в облаке все еще могло определить, с какими общедоступными фотографиями его сравнивали. И время, необходимое для сравнения, может кое-что сказать об исходных фотографиях: фотографии явно разных людей можно легко исключить, но фотографии очень похожих людей могут занять больше времени, чтобы различить.
Таким образом, у схемы доступа к памяти Ascend есть одна последняя загвоздка: она отправляет запросы в память через регулярные промежутки времени — даже когда процессор занят и не требует новых данных. Таким образом, злоумышленники не смогут определить, сколько времени занимает какое-либо вычисление.