你在使用哪种编程语言?快来投票,亲手选出你心目中的编程语言之王 了解详情
写点什么

Arm 和 Docker 合作推出与平台无关的安全系统 API

2019 年 10 月 25 日

Arm和Docker合作推出与平台无关的安全系统API

在 Arm 和 Docker 的支持下,PARSEC(Platform AbstRaction for SECurity)定义了一个通用的软件标准来处理对象存储和加密服务的安全性问题。该计划重点关注由容器化服务组成的现代系统架构,并努力让多种语言能够更容易地使用安全技术。


PARSEC 用各种流行的编程语言建立了一个面向开发人员的库生态系统。每个库都高度符合工效学标准,并且易于使用。这个不断增长的生态系统让基础设施计算、边缘计算和安全物联网等广泛用例的安全措施变得唾手可得。


PARSEC 承诺将会覆盖到安全系统的所有方面,包括密钥的提供和管理、散列、签名、非对称和对称加密、熵,等等。它的核心组件是一个用 Rust 编写的安全服务,它运行在主机上,并通过原生安全措施提供连接性。这就为那些对底层主机硬件设施一无所知,也没有足够特权来使用它们的客户端提供了访问安全设施的可能性。


分层架构确保了 PARSEC 服务的可扩展性,分层架构支持集成安全程序,安全程序可以是通用的,也可以是供应商提供的。外部客户端可以通过公共前端层访问安全程序,这个层负责处理连线协议和公共 API,以及所有序列化和反序列化工作。


为了了解更多信息,InfoQ 采访了 Docker 和 PARSEC 安全主管 Justin Cormack。


InfoQ:你能介绍一下 Parsec 是何时以及如何诞生的吗?它的主要目标是什么?它的目标是如何实现的?


Justin Cormack:Docker 和 Arm 合作已经有一段时间了,在 4 月份的 DockerCon 大会上,他们宣布将致力于为云计算、边缘计算和物联网提供一个通用的软件管道。我们正在探索一个我们共同感兴趣的领域,包括硬件密钥管理和密码学。从 Docker 的角度来看,很明显,一段时间以来,在安全方面处于领先地位的客户,如金融服务公司和政府,都有一个长期的目标,即所有加密和签名私钥都应该存储在硬件中。这样,即使在发生主机泄露的情况下,私钥也不会被窃取。最糟糕的情况是,它们可能在泄露期间被使用。此外,随着边缘应用程序越来越多地采用 Docker,这种安全性甚至变得比数据中心和云应用程序的安全性更为重要。没有了服务器的物理安全保护,硬件安全机制对于防止篡改和本地攻击来说就变得至关重要。这就是为什么我们要和 Arm 合作开发 Parsec,一种用于硬件安全的通用 API。


InfoQ:Parsec 希望如何改善开源软件的安全状况?


Cormack:我们正在努力解决两个问题。

首先,不同类型的硬件密钥之间几乎没有标准化的 API。TPM、苹果和 Android 有自己的 API,每个制造商有不同的 HSM API,而云提供商也有不同的远程 HSM API。我们正在设计一个通用的 API,基于 Arm PSA API(一个现代密码软件套件)。我们也考虑了其他方案,但我们更喜欢这个 API,因为它不包含遗留的加密操作,并且公开了一组合理的高级接口。此外,我们将进一步对其进行抽象,提供更通用的操作。在集成到硬件中之后,将提供一组受限的操作,你可以要求“使用 TLS 1.3 可接受的签名密钥”或类似的问题,实现可以很灵活,而不是只能“使用 RSA 密钥”。在项目中使用硬件密钥会更容易,不需要为特定的硬件和算法编写代码。

第二个问题是,硬件密钥管理没有为多客户端(如节点上的多个容器)提供多路密钥存储功能。我们可以假设这样一种情况,即单个服务拥有整个 TPM 或 HSM,或者可能提供了一些机制,但是不同的机制之间是不一样的。共享很可能不安全,因为客户端可能会访问到错误的密钥。因此,我们添加了一组通用的共享机制,其中包含了一个 Parsec 守护进程,对多个进程进行身份验证,并提供 API。我们计划重用 SPIFFE 协议(一个 CNCF 项目)的工作成果来进行认证和分发客户端证书。


InfoQ:目前有哪些组织在支持它?


Cormack:目前是 Arm 和 Docker 在合作这个项目。将其开放的目的是希望让其他感兴趣的组织能够更容易地参与进来,我们目前正在与其他可能感兴趣的组织进行交涉。我们欢迎所有愿意合作的组织。


InfoQ:你为什么选择 Rust 呢?使用 Rust 开发这类软件的总体经验是怎样的?


Cormack:Rust 与安全相关的项目越来越多,与密码应用程序有关的社区也在不断增长。作为一名安全工程师,我看到越来越多的安全项目选择 Rust。我们需要的是能够与其他语言交互、安全且可靠的东西。Rust 和 Go 语言是主要的候选语言,而 Rust 胜出了。这是 Docker 使用 Rust 开发的第一个项目,尽管我们在过去曾经讨论过其他一些适合的东西。我们目前正在开发 Rust 和 Go 语言客户端库,并计划在未来增加更多语言版本。


InfoQ:Parsec 目前的状态是怎样的?你如何看待它未来的发展?


Cormack:我们非常早就发布了这个项目,到目前为止,我们做的很多工作都是设计而不是编码,但已经有足够完整的原型来做一些演示和演示大部分架构。但它还处于非常早期的阶段,还不能提供给任何人使用,除了那些有兴趣参与贡献的人。我们将致力于将其集成到其他项目中,稳定客户端库,并添加新的后端,如 TPM。公开做这些事情应该也会鼓舞到其他贡献者。


PARSEC 核心服务可以很容易在Linux上构建和安装


原文链接


PARSEC Is a New Platform-Agnostic API for Secure Systems


2019 年 10 月 25 日 08:00911

评论

发布
暂无评论
发现更多内容

Python OpenCV 对象检测,图像处理取经之旅第 37 篇

梦想橡皮擦

7月日更

两个月面试5家,(美团、360、新浪网、完美世界、搜狐)已拿美团18k*16薪offer

云流

Java 编程 程序员 架构 面试

面试了阿里,滴滴,网易,蚂蚁,最终有幸去了网易【面试题分享】

马小轩

程序员 架构 面试 Java、 笔记

20121最新大厂必问面试真题360道,进BAT必看,40w年薪不接受反驳

马小轩

程序员 面试 笔记 架构、

[干货,阅后进BAT不是梦]面试心得与总结---阿里、小米、腾讯

马小轩

Java 架构 面试 笔记

为Java程序员【金三银四】精心挑选的五十道面试题与答案

马小轩

程序员 面试 Java、 笔记

智能运维系列之四:智能运维落地的思路

micklongen

Fil矿机怎么购买?Fil矿机哪里买?

IPFS星盟小熊

fil矿机怎么购买 fil矿机 ipfs矿机

7家公司拿了5个offer,无非就是问源码、分布式微服务这些

菜菜山

Java 编程 程序员 架构 面试

fil币矿机怎么买?fil币矿机主要看什么?

v:IPFS456

fil币矿机怎么买? fil币矿机主要看什么?

华为18级工程师耗时三年才总结出这份Java亿级高并发核心编程手册

Java 白

Java 编程 程序员

模块一作业

A先生

467页数据结构系统教程,图文并茂易于理解,零基础也能轻松学会

架构大师

Java 程序员 数据结构 算法 Java学习

46道史上最全Redis面试题,面试官能问的都被我找到了(含答案)

马小轩

程序员 架构 面试 笔记

记阿里巴巴的一次面试,教你怎样应对到来的“金三银四”!

马小轩

Java 面试 笔记

模块二作业

A先生

IPFS/FIL矿机布局该任何去选择矿商?如何避免IPFS矿机的坑呢?

IPFS8822

FIL矿机怎么买 ipfs矿商公司哪家好? 币圈

模块 2. 架构设计

脉动

我愿称之为阿里史上最牛的分布式核心原理深度解析全彩 PDF

Java技术架构

Java 学习 程序员 架构 面试

智能运维系列之三:什么是智能运维

micklongen

盖世无双Spring Boot高级进阶笔记你Get了吗??

Geek_33f0ef

Java 程序员 面试 程序人生 架构师

登峰造极迎接实战!绝版 Spring 全家桶阿里高工私享面试进阶笔记,就这还不香?

Java技术架构

Java 学习 程序员 架构 面试

叱咤风云 IT 界!阿里首推的“SpringBoot+Vue 全栈项目”到底有多牛 X?

Java技术架构

Java 学习 程序员 架构 springboot

ipfs矿机可以挖多少年?ipfs矿机一天能挖多少币?

v:IPFS456

ipfs矿机可以挖多少年? ipfs矿机一天能挖多少币?

福布斯解读区块链行业如何改变全球人才供给

CECBC区块链专委会

气贯长虹!Github 星标 78.6K 的阿里强推的 Java 啥面试参考指南甚至能这么牛?

Java技术架构

Java 学习 程序员 架构 面试

八位阿里大牛耗时三年总结出Java面试复盘手册!带你实现逆风翻盘

白亦杨

Java 编程 程序员

fil矿机电脑配置如何?fil矿机家用电脑能挖吗?fil矿机价格如何?

投资矿机v:IPFS1234

fil矿机电脑配置如何 fil矿机家用电脑能挖吗 fil矿机价格如何

华为数据治理及数据分类管理实践

王知无

2020年—BAT大型互联网企业刚出炉的一套面试题(Java岗)

马小轩

程序员 架构 面试 Java、 笔记

模块二作业

SAKIN

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

Arm和Docker合作推出与平台无关的安全系统API-InfoQ