Похоже, что давно разрабатываемая поддержка Intel SGX скоро появится в основном ядре Linux. Речь идёт версии 5.11. Отметим, что такой набор инструкций позволяет приложению создавать области в виртуальном адресном пространстве, защищённые от чтения и записи извне этой области другими процессами. Это важно для вычислений, которые требуют повышенных мер безопасности.
На аппаратном уровне инструкции Intel Software Guard Extensions поддерживаются со времен Skylake. Формально возможность их использования в Linux появилась довольно давно, однако Intel до сих пор предлагала поддержку SGX посредством патчей и сборки ядра вне основной ветки.
Однако теперь есть шансы, что поддержка такой высокоуровневой защиты будет реализована по умолчанию. Intel всё равно продолжит работать над улучшением SGX с аппаратной стороны и настойчиво добиваться поддержки в ядре Linux. Впрочем, за прошедшее время было выявлено сразу несколько уязвимостей в SGX, включая Plundervolt, LVI и вариацию Spectre.
