TECHNOLOGIES FOR DYNAMIC LOADING OF INTEGRITY PROTECTED MODULES INTO SECURE ENCLAVES

TECHNOLOGIES FOR DYNAMIC LOADING OF INTEGRITY PROTECTED MODULES INTO SECURE ENCLAVES

Technologies for dynamic loading of integrity protected modules into a secure enclave include a computing device having a processor with secure enclave support. The computing device divides an executable image into multiple chunks, hashes each of the chunks with corresponding attributes that affect...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: XING, Bin, SHANAHAN, Mark W
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRIC DIGITAL DATA PROCESSING
ELECTRICITY
PHYSICS
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:Technologies for dynamic loading of integrity protected modules into a secure enclave include a computing device having a processor with secure enclave support. The computing device divides an executable image into multiple chunks, hashes each of the chunks with corresponding attributes that affect security to generate a corresponding hash value, and generates a hash tree as a function of the hash values. The computing device generates an initial secure enclave memory image that includes the root value of the hash tree. At runtime, the computing device accesses a chunk of the executable image from within the secure enclave, which generates a page fault. In response to the page fault, the secure enclave verifies the associated chunk based on the hash tree and accepts the chunk into the secure enclave in response to successful verification. The root value of the hash tree is integrity-protected. Other embodiments are described and claimed. L'invention concerne des technologies de chargement dynamique de modules protégés en intégrité dans une enclave sécurisée comprenant un dispositif informatique possédant un processeur avec une prise en charge d'enclave sécurisée. Le dispositif informatique divise une image exécutable en fragments multiples, hache chacun des fragments avec des attributs correspondants qui affectent la sécurité pour générer une valeur de hachage correspondante et génère un arbre de hachage en fonction des valeurs de hachage. Le dispositif informatique génère une image de mémoire d'enclave sécurisée initiale comprenant la valeur racine de l'arbre de hachage. Lors de l'exécution, le dispositif informatique accède à un fragment de l'image exécutable à partir de l'intérieur de l'enclave sécurisée, ce qui génère un défaut de page. En réponse au défaut de page, l'enclave sécurisée vérifie le fragment associé en fonction de l'arbre de hachage et accepte le fragment dans l'enclave sécurisée en réponse à une vérification réussie. La valeur racine de l'arbre de hachage est protégée en intégrité. L'invention concerne également d'autres modes de réalisation.