Informatique confidentielle : VMware rallie autour du projet Certifier Framework
Publié par Clément Bohic le - mis à jour à
Une alliance se structure autour de Certifier Framework, projet open source que porte VMware. En quoi consiste-t-il ?
Prendre en charge Nitro ? RSA-3072 ? Les « conteneurs confidentiels » d'IBM ? Les GPU ? Tout ceci est sur la feuille de route du projet Certifier Framework.
L'elan est venu de VMware, qui a ouvert les vannes l'an dernier. Et qui a profite, la semaine passee, du Confidential Computing Summit pour faire un point d'etape. Le groupe americain a notamment enterine une « alliance » avec AMD, Samsung et « des membres de la communaute RISC-V ».
Une annonce symbolique de l'une des grandes promesses du projet : s'adapter à la diversite des environnements d'execution materiels qui portent - et porteront - l'informatique dite « confidentielle ». Parmi eux, certains assurent une isolation au niveau des applications, comme SGX chez Intel. D'autres, au niveau des VM, comme SEV chez AMD.
VMware pousse un autre couche d'abstraction
Pour faire « communiquer » les applications entre ces differentes plates-formes, Certifier Framework fournit deux briques, sous licence Apache 2.0. D'un cote, une bibliotheque d'API clientes. De l'autre, un serveur de certification. La premiere doit simplifier l'adaptation des programmes, en limitant à « une demi-douzaine de lignes de code » les ajouts necessaires pour implementer tous les aspects de l'informatique confidentielle (isolation, mesure, gestion des secrets, attestation). Le second, ecrit en Go, gere la confiance entre systemes sur la base d'un moteur de politiques (et de certificats X.509). Le langage par defaut pour ecrire ces dernieres est base sur le framework Abadi-Lampson.
Intel SGX est gere par l'intermediaire de deux SDK : Open Enclaves et Gramine (il y eut un portage Asylo, plus maintenu neanmoins).
Les politiques etant independantes des applications, il est, en theorie, plus facile de changer de back-end.
Illustration principale generee par IA