Trusted Execution Environment
 |
הערך נמצא בשלבי עבודה: כדי למנוע התנגשויות עריכה ועבודה כפולה, אתם מתבקשים שלא לערוך את הערך בטרם תוסר ההודעה הזו, אלא אם כן תיאמתם זאת עם מניח התבנית.
| |
| הערך נמצא בשלבי עבודה: כדי למנוע התנגשויות עריכה ועבודה כפולה, אתם מתבקשים שלא לערוך את הערך בטרם תוסר ההודעה הזו, אלא אם כן תיאמתם זאת עם מניח התבנית. | |
Trusted Execution Environment (בראשי תיבות: TEE, בעבריתː סביבת ביצוע מהימנה) הוא אזור מאובטח במעבד המופרד מסביבת הריצה הרגילה (Rich Execution Environment או REE) ומאפשר הגנה על הקוד והמידע הנטענים אליו ומבטיח את שלמותם וסודיותם. שימוש ב-TEE מונע מגורמים לא מורשים, כגון קוד זדוני המתבצע בסביבת הביצוע הרגילה, לשנות או לצפות בקוד או נתונים בסביבת הביצוע המהימנה.
לעיתים, גם הבעלים של המחשב עצמו יכול להיחשב גורם לא מורשה, למשל, ביישומים המשתמשים במנגנוני ניהול זכויות דיגיטליות (DRM) מסוימים האוכפים שימש נאות בזכויות דיגיטליות כגון שימוש במוזיקה וסרטי וידאו. במקרה זה, מטרת השימוש ב TEE היא למנוע מבעלי המחשב גישה למידע ולקוד של מנגנוני האכיפה על מנת לעקוף אותם.
יישום סביבת ביצוע מהימנה נעשה על ידי הטמעה של ארכיטקטורת אבטחה ייחודית כהרחבה לחומרת המעבד, דוגמה לכך הם TrustZone במעבדי ARM ו-SGX בחלק ממעבדי אינטל. לעיתים נעשה שימוש במנגנונים המשמשים לתמיכה בווירטואליזציה במעבד כדי ליישם סביבת ביצוע מהימנה כמכונה וירטואלית, לשם כך נדרשים שירותים מיוחדים מה Hypervisor.[1][2]
היסטוריה[עריכת קוד מקור | עריכה]
TEE הוגדר לראשונה על ידי ארגון OMTP (Open Mobile Terminal Platform). ארגון זה של מפעילות רשתות סלולריות פרסם בשנת 2009, בשיתוף עם יצרני טלפונים חכמים, את תקן TR1. התקן הגדיר TEE כ"אוסף של רכיבי חומרה ותוכנה המספקים את המנגנונים הנחוצים המאפרים להגיע לאחת משתי רמות ההבטחה. מטרתה של הרמה הראשונה (פרופיל 1) היא להגן מפני התקפות מבוססות תוכנה בלבד. והמטרה של הרמה השנייה (פרופיל 2) היא להגן מפני התקפות משולבות של תוכנה וחומרה".[3]
מאוחר יותר הושקו פתרונות TEE מסחריים המבוססים על טכנולוגיית ARM TrustZone, התואמים את תקן TR1, כמו חבילת התוכנה Trusted Foundations שפותחה על ידי חברת Trusted Logic.[4]
אופן הפעולה[עריכת קוד מקור | עריכה]
TEE בדרך כלל הוא שילוב של מנגנון חומרתי היוצר סביבת ביצוע מוגנת ומערכת הפעלה המתבצעת על גבי המנגנון החמרתי.
מערכת הכללת TEE מופרדת למספר אזורים או מחיצות. מנגנוני המערכת נדרשים להבטיח, שלא יהיה ניתן לגשת או לשנות מידע השייך למחיצה אחת ממחיצות אחרות, שמשאבים משותפים לא יאפשרו דליפה של מידע מחיצה אחת לאחרת. בין המחיצה שבשליטת ה-TEE למחיצות הרגילות ישנו ערוץ תקשורת המאפשר העברת בקשות, לביצוע משימות שצריכות להתבצע בסביבה מהימנה. התקשורת בין המחיצות תתבצע אך ורק תחת בקרה ובאישור מפורש ושפרצת אבטחה במחיצה אחת לא תוכל להתפשט למחיצות אחרות.
מערכות הפעלה ל TEE[עריכת קוד מקור | עריכה]
| חֶברָה | מוצר | חומרה בשימוש | תקן API | סוג הסמכה | הפניות |
|---|---|---|---|---|---|
| עליבאבא | Cloud Link TEE | GlobalPlatform | מלא | [5] | |
| אפל | iOS Secure Enclave | מעבד נפרד | קנייני | [6] | |
| BeanPod | ISEE | ARM TrustZone | GlobalPlatform | [7] | |
| Huawei | iTrustee | ARM TrustZone | GlobalPlatform | מלא | [8] |
| גוגל | Trusty | ARM / אינטל | קנייני | [9] | |
| לינארו | OPTEE | ARM TrustZone | GlobalPlatform | [10] | |
| קוואלקום | QTEE | ARM TrustZone | GlobalPlatform + קנייני | [11] | |
| סמסונג | TEEgris | ARM TrustZone | GlobalPlatform | מלא | [12] |
| TrustKernel | T6 | ARM TrustZone | GlobalPlatform | [13] | |
| Trustonic | Kinibi | ARM TrustZone | GlobalPlatform | מלא | [14] |
| Watchdata | WatchTrust | ARM TrustZone | GlobalPlatform | מלא | [15] |
תמיכה בחומרה[עריכת קוד מקור | עריכה]
הערות שוליים[עריכת קוד מקור | עריכה]
- ^ "Introduction to Trusted Execution Environment: ARM's TrustZone".
- ^ "Trusted Execution Environment, millions of users have one, do you have yours?". Poulpita. 2014-02-18. ארכיון מ-2021-01-27. נבדק ב-2017-05-17.
- ^ ADVANCED TRUSTED ENVIRONMENT: OMTP TR1, מאי 2009
- ^ "Gemalto's website has moved to Thales" (PDF). אורכב מ-המקור (PDF) ב-2014-09-03.
- ^ "Alibaba Cloud Link Tee V1.1.3". GlobalPlatform. ארכיון מ-2021-10-26. נבדק ב-2021-10-13.
- ^ "Secure Enclave overview". Apple Inc. ארכיון מ-2021-08-13. נבדק ב-2021-10-13.
- ^ "GlobalPlatform Welcomes New Participating Member Beijing Beanpod Technology". GlobalPlatform. ארכיון מ-2021-10-26. נבדק ב-2021-10-13.
- ^ "Huawei iTrustee V3.0 on Kirin 980". GlobalPlatform. ארכיון מ-2021-04-14. נבדק ב-2021-10-13.
- ^ "Trusty TEE". Google Android. ארכיון מ-2021-10-14. נבדק ב-2021-10-13.
- ^ "Security, Trustzone and OP-TEE". Linaro. ארכיון מ-2021-02-27. נבדק ב-2021-10-13.
- ^ "Guard your Data with Qualcomm Snapdragon Mobile Platform" (PDF). Qualcomm. ארכיון (PDF) מ-2021-06-25. נבדק ב-2021-10-13.
- ^ "Samsung TeeGris V4.1". GlobalPlatform. ארכיון מ-2021-01-17. נבדק ב-2021-10-13.
- ^ "Enhance Device Security With T6". TrustKernel.
- ^ "Certificate of Security Evaluation – Kinibi 410A" (PDF). GlobalPlatform.
- ^ "WatchTrust 2.1.1 on SC9860" (PDF). GlobalPlatform.