Trusted Execution Environment

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

Trusted Execution Environmentראשי תיבות: TEE, בעבריתː סביבת ביצוע מהימנה) הוא אזור מאובטח במעבד המופרד מסביבת הריצה הרגילה (Rich Execution Environment או REE) ומאפשר הגנה על הקוד והמידע הנטענים אליו ומבטיח את שלמותם וסודיותם. שימוש ב-TEE מונע מגורמים לא מורשים, כגון קוד זדוני המתבצע בסביבת הביצוע הרגילה, לשנות או לצפות בקוד או נתונים בסביבת הביצוע המהימנה.

לעיתים, גם הבעלים של המחשב עצמו יכול להיחשב גורם לא מורשה, למשל, ביישומים המשתמשים במנגנוני ניהול זכויות דיגיטליות (DRM) מסוימים האוכפים שימש נאות בזכויות דיגיטליות כגון שימוש במוזיקה וסרטי וידאו. במקרה זה, מטרת השימוש ב TEE היא למנוע מבעלי המחשב גישה למידע ולקוד של מנגנוני האכיפה על מנת לעקוף אותם.

יישום סביבת ביצוע מהימנה נעשה על ידי הטמעה של ארכיטקטורת אבטחה ייחודית כהרחבה לחומרת המעבד, דוגמה לכך הם TrustZone במעבדי ARM ו-SGX בחלק ממעבדי אינטל. לעיתים נעשה שימוש במנגנונים המשמשים לתמיכה בווירטואליזציה במעבד כדי ליישם סביבת ביצוע מהימנה כמכונה וירטואלית, לשם כך נדרשים שירותים מיוחדים מה Hypervisor.[1][2]

היסטוריה

TEE הוגדר לראשונה על ידי ארגון OMTP ‏ (Open Mobile Terminal Platform). ארגון זה של מפעילות רשתות סלולריות פרסם בשנת 2009, בשיתוף עם יצרני טלפונים חכמים, את תקן TR1. התקן הגדיר TEE כ"אוסף של רכיבי חומרה ותוכנה המספקים את המנגנונים הנחוצים המאפרים להגיע לאחת משתי רמות ההבטחה. מטרתה של הרמה הראשונה (פרופיל 1) היא להגן מפני התקפות מבוססות תוכנה בלבד. והמטרה של הרמה השנייה (פרופיל 2) היא להגן מפני התקפות משולבות של תוכנה וחומרה".[3]

מאוחר יותר הושקו פתרונות TEE מסחריים המבוססים על טכנולוגיית ARM TrustZone, התואמים את תקן TR1, כמו חבילת התוכנה Trusted Foundations שפותחה על ידי חברת Trusted Logic.[4]

אופן הפעולה

TEE בדרך כלל הוא שילוב של מנגנון חומרתי היוצר סביבת ביצוע מוגנת ומערכת הפעלה המתבצעת על גבי המנגנון החמרתי.

מערכת הכללת TEE מופרדת למספר אזורים או מחיצות. מנגנוני המערכת נדרשים להבטיח, שלא יהיה ניתן לגשת או לשנות מידע השייך למחיצה אחת ממחיצות אחרות, שמשאבים משותפים לא יאפשרו דליפה של מידע מחיצה אחת לאחרת. בין המחיצה שבשליטת ה-TEE למחיצות הרגילות ישנו ערוץ תקשורת המאפשר העברת בקשות, לביצוע משימות שצריכות להתבצע בסביבה מהימנה. התקשורת בין המחיצות תתבצע אך ורק תחת בקרה ובאישור מפורש ושפרצת אבטחה במחיצה אחת לא תוכל להתפשט למחיצות אחרות.

מערכות הפעלה ל TEE

חֶברָה מוצר חומרה בשימוש תקן API סוג הסמכה הפניות
עליבאבא Cloud Link TEE GlobalPlatform מלא [5]
אפל iOS Secure Enclave מעבד נפרד קנייני [6]
BeanPod ISEE ARM TrustZone GlobalPlatform [7]
Huawei iTrustee ARM TrustZone GlobalPlatform מלא [8]
גוגל Trusty ARM / אינטל קנייני [9]
לינארו OPTEE ARM TrustZone GlobalPlatform [10]
קוואלקום QTEE ARM TrustZone GlobalPlatform + קנייני [11]
סמסונג TEEgris ARM TrustZone GlobalPlatform מלא [12]
TrustKernel T6 ARM TrustZone GlobalPlatform [13]
Trustonic Kinibi ARM TrustZone GlobalPlatform מלא [14]
Watchdata WatchTrust ARM TrustZone GlobalPlatform מלא [15]

תמיכה בחומרה

הערות שוליים

  1. ^ "Introduction to Trusted Execution Environment: ARM's TrustZone".
  2. ^ "Trusted Execution Environment, millions of users have one, do you have yours?". Poulpita. 2014-02-18. ארכיון מ-2021-01-27. נבדק ב-2017-05-17.
  3. ^ ADVANCED TRUSTED ENVIRONMENT: OMTP TR1, מאי 2009
  4. ^ "Gemalto's website has moved to Thales" (PDF). אורכב מ-המקור (PDF) ב-2014-09-03.
  5. ^ "Alibaba Cloud Link Tee V1.1.3". GlobalPlatform. ארכיון מ-2021-10-26. נבדק ב-2021-10-13.
  6. ^ "Secure Enclave overview". Apple Inc. ארכיון מ-2021-08-13. נבדק ב-2021-10-13.
  7. ^ "GlobalPlatform Welcomes New Participating Member Beijing Beanpod Technology". GlobalPlatform. ארכיון מ-2021-10-26. נבדק ב-2021-10-13.
  8. ^ "Huawei iTrustee V3.0 on Kirin 980". GlobalPlatform. ארכיון מ-2021-04-14. נבדק ב-2021-10-13.
  9. ^ "Trusty TEE". Google Android. ארכיון מ-2021-10-14. נבדק ב-2021-10-13.
  10. ^ "Security, Trustzone and OP-TEE". Linaro. ארכיון מ-2021-02-27. נבדק ב-2021-10-13.
  11. ^ "Guard your Data with Qualcomm Snapdragon Mobile Platform" (PDF). Qualcomm. ארכיון (PDF) מ-2021-06-25. נבדק ב-2021-10-13.
  12. ^ "Samsung TeeGris V4.1". GlobalPlatform. ארכיון מ-2021-01-17. נבדק ב-2021-10-13.
  13. ^ "Enhance Device Security With T6". TrustKernel.
  14. ^ "Certificate of Security Evaluation – Kinibi 410A" (PDF). GlobalPlatform.
  15. ^ "WatchTrust 2.1.1 on SC9860" (PDF). GlobalPlatform.
הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

39080554Trusted Execution Environment