خبرمقالات

محیط اجرایی مورد اعتماد و نقش آن در امنیت کدهای نرم افزاری

محیط اجرایی مورد اعتماد، محیطی است که در آن کدهای اجرایی و داده‌های مورد استفاده این کدها به صورت فیزیکی تفکیک شده و از آنها حفاظت می‌شود تا هیچ شخص غیرمجازی امکان دسترسی به داده‌ها، تغییر کد یا رفتار کدها را نداشته باشد. تعداد دقیق دستگاه‌هایی که از محیط اجرایی مورد اعتماد استفاده می‌کنند از جمله گوشی‌های تلفن همراه هوشمند، گیرنده های ماهواره، کنسول‌های بازی و تلویزیون‌های هوشمند مشخص نیست.

محیط اجرایی مورد اعتماد یا به اختصار [۱]TEE یک محیط امن و حفاظت شده است که دارای قابلیت‌های پردازشی و ذخیره‌ای است.

 

عناصر تشکیل دهنده محیط اجرایی مورد اعتماد

TEE بخشی از دستگاه پردازشگر اصلی است که از سیستم و سیستم‌عامل اصلی جدا می‌باشد. وجود TEE این اطمینان را ایجاد می‌کند که داده‌های ذخیره و پردازش شده، در یک محیط امن و حفاظت شده باقی می مانند. TEE یک راهکار حفاظتی برای اشیای متصل به اینترنت را فراهم نموده و مجهز به قابلیت تفکیک ساختارهای الکترونیک است.

TEE در محیط اجرایی تفکیک شده‌ای ایجاد می‌شود که به صورت موازی در کنار سیستم‌عامل های معمولی مثل اندروید یا ویندوز اجرا می‌شود. هدف نهایی آن حفاظت از داده‌ها و کدهای حساس در برابر حملات ارتقای سطح دسترسی، بدون ایجاد تأثیر منفی بر روی عملکرد سیستم‌عامل است. این محیط با تفکیک نرم‌افزار، از برنامه‌های کاربردی که به نوعی داخل یکدیگر کار می‌کنند حفاظت می‌نماید.

با تفکیک قابلیت‌های امنیتی نرم‌افزاری و سخت‌افزاری، مدافعان شانس بیشتری برای حفاظت از داده‌ها دارند. به این ترتیب داده‌ها در یک محیط سخت‌افزاری امن قرار می‌گیرند که به سیستم‌عامل دسترسی ندارند. محیط‌های اجرایی مورد اعتماد می‌توانند به ارتقای سطح امنیت داده‌های ابر، همکاری بین طرف‌های مختلف و تفکیک فرایندهای حساس کمک کنند.

 

امنیت محیط های اجرایی مورد اعتماد

محیط‌های اجرایی مورد اعتماد یکی از اجزای مهم در معماری امنیتی دستگاه‌های سیار مدرن امروزی محسوب می‌شوند. این محیط‌ها امکانات امنیتی مهمی همچون ایجاد محیطی جدا برای برنامه‌های قابل اعتماد را فراهم نموده و به حفظ محرمانگی اطلاعات نیز کمک زیادی می‌کنند.

در مجموع، TEE یک فضای اجرایی ایجاد می‌کند که از امنیت بالاتری برخوردار بوده و شامل یک سیستم‌عامل غنی‌تر با قابلیت‌های بیشتر و عناصر امنیتی قوی‌تر می‌باشد. یک نمونه از پیاده‌سازی‌های مفهوم TEE توسط شرکت‌های اینتل و ARM با استفاده از فناوری‌های SGX و TrustZone که از جمله شناخته‌شده‌ترین محیط‌های اجرایی قابل اعتماد هستند، طراحی شده است. محیط‌های اجرایی مجازی مثل Open TEE به توسعه‌دهندگان امکان می‌دهند که با استفاده از مشخصات محیط اجرایی قابل اعتماد GlobalPlatform بتوانند برنامه‌های کاربردی قابل اعتمادتری را طراحی کنند.

یکی از این محیط‌های اجرایی قابل اعتماد، فناوری افزونه‌های حفاظت نرم‌افزاری (SGX[۲]) شرکت اینتل است که بر روی سخت‌افزارهای فعلی این شرکت وجود دارد. شرکت اینتل در سال ۲۰۲۰ میلادی از قصد خود برای توسعه SGX خبر داد که حدود پنج سال پیش در پردازنده‌های Skylake این شرکت از آنها رونمایی شد. به این ترتیب این راهکار در پردازنده‌های دیگری مثل Ice Lake هم پیاده‌سازی شدند. محیط‌های اجرایی رایانه‌های تجاری که به آنها پیمانه‌های پلتفرم مورد اعتماد (TPM[۳]) گفته می‌شود، بر روی رایانه‌های تجاری قابل نصب هستند.

 

پیاده سازی محیط اجرایی مورد اعتماد

برای یک پیاده‌سازی ساده، به راهکاری ساده نیاز است. این راهکار باید متشکل از ادغام یک هسته امن و سبک وزن با یک مانیتور و یک سوئیچ به یک دامنه امن معمولی باشد. کاربرانی که نیاز به یک راهکار ساده‌تر دارند، خودشان می‌توانند محیط اجرایی دلخواه‌شان را پیاده‌سازی کنند.

محیط اجرایی مورد اعتماد می‌تواند برای انواع دستگاه‌ها و بخش‌های مختلف کارایی داشته باشد. این راهکار، گزینه‌های مختلفی برای تفکیک سخت‌افزاری فراهم می‌کند. TEE یکی از فناوری‌هایی است که به تولیدکنندگان، ارایه‌دهندگان سرویس و مشتری‌ها برای حفاظت از داده‌های حساس و دستگاه‌های‌شان کمک می‌کند. محیط اجرایی مورد اعتماد از بخشی از سخت‌افزار که کد در آن اجرا می‌شود، محافظت می‌کند. کد اجرا شده در محیط اجرایی قابل اعتماد، قابل مشاهده یا دستکاری نخواهد بود. بنابراین مهاجم برای اجرای کدهای مخرب نیاز به دسترسی‌های کاملی دارد. در نتیجه این راهکار به ارتقای سطح امنیت کمک می‌کند.

یکی از سیستم‌عامل‌های مطمئن و امنی که محیط اجرایی مورد اعتماد دارد، اندروید است. محیط اجرایی مورد اعتماد این سیستم‌عامل، “Trusty” نام داشته و با همان پردازنده‌ای کار می کند که سیستم‌عامل اندروید را اجرا می‌کند.  از این رو می تواند از سایر اجزای سخت‌افزاری و نرم‌افزاری سیستم تفکیک شود. Trusty به کل حافظه و پردازنده دستگاه‌ها دسترسی داشته و کاملاً تفکیک شده است. به همین خاطر، Trusty در برابر برنامه‌های مخربی که توسط کاربران نصب می‌شوند و همچنین آسیب‌پذیری‌های احتمالی اندروید دارای امنیت کافی خواهد بود.

محیط اجرایی مورد اعتماد، باعث می‌شود همه کدها یا داده‌های بارگذاری شده در آن به خوبی حفاظت شده و امنیت و محرمانگی آنها حفظ شود. سیستم REE[۴] هم یک محیط اجرایی غنی است که از سخت‌افزار و نرم‌افزار برای حفاظت از داده‌ها و کد استفاده می‌کند.

در هر سیستم دارای TEE تعدادی برنامه کاربردی داریم که چندان مورد اعتماد نبوده و در REE اجرا می‌شوند. از طرف دیگر برنامه‌های کاربردی وجود دارند که در TEE اجرا شده و مورد اعتماد هستند. برنامه کاربردی مورد اعتمادی که در TEE اجرا می‌شود در یک محیط تفکیک شده به همه قابلیت‌های دستگاه دسترسی دارد و به این ترتیب از دستگاه و حافظه آن در برابر برنامه‌های مخرب حفاظت می‌شود. برنامه مورد اعتماد در یک دنیای امن اجرا می‌شود که به پردازنده اصلی و حافظه جانبی دسترسی کامل داشته و قابلیت تفکیک سخت‌افزاری آن را از دنیای ناامن و برنامه‌های غیرمطمئن اجرا شده در سیستم‌عامل حفاظت می‌کند.

یکی از مهم‌ترین دغدغه‌ها، امنیت پایگاه‌های داده و داده‌های محرمانه سازمانی است. امنیت محیط اجرایی مورد اعتماد، به تفکیک شدن آن وابسته است اما در عمل همیشه این محیط‌ها کاملاً تفکیک شده نیستند. در نتیجه احتمال نشت اطلاعات از محیط اجرایی وجود دارد.

 

جمع بندی

در مجموع، TEE یک محیط اجرایی حفاظت شده را ایجاد می‌کند که در کنار سیستم‌عامل اصلی همچون اندروید یا ویندوز اجرا شده و هدف آن حفاظت از داده‌ها و کدهای حساس در برابر حملات نرم‌افزاری ارتقای سطح دسترسی است. محیط اجرایی TEE تأثیر منفی بر روی عملکرد سیستم‌عامل نخواهد داشت. این محیط با تفکیک نرم‌افزارها از برنامه‌های مورد اعتمادی که داخل یکدیگر اجرا می‌شوند حفاظت می‌کند.

مفهوم TEE تبدیل به یکی از مفاهیم جدید مهم در دنیای سخت‌افزار شده است. بازیگران اصلی که برای استاندارسازی محیط اجرایی مورد اعتماد تلاش می‌کنند معمولاً شامل ارایه‌دهندگان خدمات، اپراتورهای شبکه‌های همراه، توسعه‌دهندگان سیستم‌عامل، توسعه‌دهندگان برنامه‌های کاربردی، تولیدکنندگان دستگاه‌ها و طراحان پلتفرم‌ها هستند.

 

[۱] Trusted Execution Environment

[۲] Software Guard Extensions

[۳] Trusted Platform Module

[۴] Rich Execution Environment

 

منبع: medium

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پنج × سه =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.