Bizalmas Számítástechnika (Confidential Computing) MI-hez: Adatvédelem futásidőben Intel SGX és AMD SEV segítségével

2025.10.17.
AI Biztonság Blog

Oké, beszéljünk őszintén. Van egy AI modelled, ami a céged koronaékszere. Vagy talán olyan ügyféladatokkal dolgozol, amik érzékenyebbek, mint egy szuperkém titkos aktái. Elégedetten hátradőlsz, mert az adataid titkosítva vannak a merevlemezen (at rest) és a hálózaton is (in transit). Pipa. Biztonságban vagy, igaz?

Tényleg? Amikor az a modell fut, amikor azokat az adatokat feldolgozza a felhőben egy bérelt V100-as kártyán, pontosan tudod, mi történik a memóriában? Abban a pillanatban, amikor a CPU vagy a GPU dolgozik vele, a te gyönyörűen titkosított adatod és modelled ott van… meztelenül. Plaintext formában. Bárki számára olvashatóan, akinek elég magas jogosultsága van a gépen.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

És itt jön a kényelmetlen kérdés: 100%-ig megbízol a felhőszolgáltatódban? Minden egyes adminisztrátorában? A hypervisorban, ami a virtuális gépedet futtatja? A szerveren futó összes többi szoftverben? Ha a válaszod nem egy azonnali, habozás nélküli „igen”, akkor van egy vakfoltod. Egy akkora vakfolt, amin egy kamion is átfér.

Ez a vakfolt a „data-in-use” problémája. És ma arról fogunk beszélni, hogyan foltozzuk be ezt a rést egy olyan technológiával, ami nem csak egy újabb buzzword, hanem egy alapvető elmozdulás abban, ahogy a biztonságról gondolkodunk: ez a Bizalmas Számítástechnika (Confidential Computing).

A Titkos Összetevő Védelme: Miért Veszélyes a Memória?

A biztonságtechnikában régóta ismerjük a „titkosítási szentháromságot”: védeni kell az adatot pihenő (at rest), mozgó (in transit) és használatban lévő (in use) állapotában. Az első kettőt már rég megoldottuk. Az AES-256 a lemezeken és a TLS a hálózaton olyan alapvető dolgok, mint a reggeli kávé. De a harmadik? Az a használatban lévő adat? Az volt a vadnyugat.

Képzeld el, hogy te vagy a Coca-Cola, és a titkos receptedet (az AI modelled súlyait vagy az ügyfeleid adatait) egy szuperbiztos konyhában (a felhőben) akarod elkészíteni. A receptet egy páncélozott széfben tárolod (titkosítás at rest), és egy páncélautóval szállítod a konyhába (titkosítás in transit). Eddig minden rendben. De abban a pillanatban, hogy a szakács kiveszi a receptet, hogy elolvassa és elkezdjen dolgozni, az ott fekszik a pulton, mindenki szeme láttára. A kukta, a takarító, a biztonsági őr (a hypervisor, a root user, a felhő admin) mind beleolvashatnak.

Ez a helyzet a memóriával. Amikor a programod fut, a CPU-nak szüksége van a dekódolt adatokra és instrukciókra. Ezek a RAM-ban ülnek, és egy privilegizált folyamat – mint a kernel vagy a hypervisor – egyszerűen bele tud nézni a virtuális géped memóriájába és kimazsolázhatja a titkaidat. Nem kell hozzá egy zseniális hacker, elég egy kíváncsi vagy rosszindulatú rendszergazda, vagy egy sebezhetőség a hypervisorban.

A legnagyobb hazugság, amit a fejlesztők mondanak maguknak: „A root user a barátunk.” Nem, nem az. A felhőben a root user a szolgáltatóé. Te csak egy bérlő vagy a házában.

A fenyegetések konkrétan:

  • Rosszindulatú bennfentesek: Egy felhőszolgáltatói alkalmazott hozzáférhet a fizikai szerverhez és dumpolhatja a memóriát.
  • Kernel-szintű támadások: Ha egy támadó root jogot szerez a hoszt gépen, az övé az egész bolt. Minden VM memóriáját olvashatja.
  • Hypervisor sebezhetőségek: A hypervisor egy komplex szoftver. A hibák itt katasztrofálisak lehetnek, lehetővé téve a VM-ek közötti „átlátást”.
  • Hardveres támadások: Olyan dolgok, mint a „cold boot attack”, ahol a RAM tartalmát a gép újraindítása után is ki lehet nyerni.

A lényeg: amíg az adataid a memóriában plaintext formában vannak, addig a biztonságod egy bizalmi láncon múlik, aminek minden egyes láncszeme tökéletes kell, hogy legyen. Ez pedig a valóságban sosem igaz.

A Titkosítási Szentháromság (és a Vakfolt) Adat „At Rest” (Merevlemez, S3 bucket) 🔒 VÉDETT (AES-256) Adat „In Transit” (Hálózati forgalom) 🔒 VÉDETT (TLS) Adat „In Use” (CPU, RAM) 🔓 SÉRÜLÉKENY!

A Bizalmas Számítástechnika Színre Lép: Az Erőd a CPU-n Belül

Mi lenne, ha a szakácsunk egy átláthatatlan, lezárt páncéldobozban dolgozna a konyha közepén? A hozzávalókat egy biztonságos csatornán kapja meg, a dobozon belül elkészíti az ételt, és csak a kész, lezárt csomagot adja ki. Senki kívülről nem láthatja a receptet vagy a munkafolyamatot, csak azt, hogy valami történik odabent. Még a konyha tulajdonosa sem.

Nagyjából ez a Bizalmas Számítástechnika lényege. Ahelyett, hogy az operációs rendszerben vagy a szoftverekben bíznánk, a bizalmat lehorgonyozzuk a hardverbe, konkrétan a CPU-ba. A modern processzorok (mint az Intel és az AMD) képesek létrehozni egy teljesen izolált és titkosított memóriaterületet. Ezt hívják biztonságos enklávénak (secure enclave).

Ez az enklávé egy fekete doboz a rendszer többi része számára. Az operációs rendszer, a hypervisor, a root user látja, hogy van egy memóriaterület, ami foglalt, de nem tudja olvasni, és nem tudja módosítani a tartalmát. A CPU hardveresen garantálja, hogy az enklávén belüli adatok titkosítva vannak a RAM-ban, és csak akkor dekódolódnak, amikor már a CPU-n belül, a feldolgozás pillanatában vannak. Még a rendszergazda sem tud belenézni.

De honnan tudom, hogy tényleg biztonságos? Az Attesztáció

Ez a zseniális része. Rendben, van egy fekete dobozod. De honnan tudod, hogy a felhőszolgáltató nem egy hamis, lehallgatható dobozt adott neked? Honnan tudod, hogy a dobozban tényleg az a kód fut, amit te oda szántál, és nem valami módosított, rosszindulatú verzió?

Itt jön képbe az attesztáció (attestation). Ez egy kriptográfiai bizonyítási folyamat. Mielőtt bármilyen titkos adatot küldenél az enklávénak, „kihívhatod”. Az enklávé a CPU-ba égetett titkos kulcsok segítségével generál egy aláírt jelentést, ami tartalmazza:

  1. A bizonyítékot, hogy ez egy valódi, hardveres enklávé egy hiteles Intel vagy AMD processzoron.
  2. Az enklávéban futó szoftver kriptográfiai lenyomatát (hash-ét).

Ezt a jelentést te a saját oldaladon le tudod ellenőrizni. Ha a hardver hiteles, és a szoftver hash-e megegyezik azzal, amit te lefordítottál és futtatni akartál, akkor 100%-ig biztos lehetsz benne, hogy a távoli enklávé biztonságos és azt a kódot futtatja, amire számítasz. Csak ezután küldöd el a titkos adatokat vagy a modellt. Ez olyan, mintha a páncéldoboz bemutatna egy hamisíthatatlan, lepecsételt tanúsítványt a gyártótól, ami igazolja a sértetlenségét és a tartalmát.

Az attesztáció a bizalom kriptográfiai megfelelője. Nem kell hinned a szolgáltatónak. Ellenőrizheted.

A Biztonságos Enklávé Működése Hoszt Rendszer (pl. Felhő Szerver) (Operációs Rendszer / Hypervisor) CPU Biztonságos Enklávé Te Kódod + Te Adataid Dekódolt állapot (csak a CPU magon belül) RAM (Memória) Titkosított Enklávé Memória 🔒🔒🔒 A CPU hardveresen titkosítja Adatmozgás OS / Hypervisor / Admin Hozzáférés Megtagadva!

A Titánok Harca: Intel SGX vs. AMD SEV

A két nagy processzorgyártó két, filozófiájában némileg eltérő megközelítést kínál a bizalmas számítástechnikára. Nincs egyértelműen „jobb” megoldás, csak olyan, ami az adott problémára jobban illik. A választás olyan, mint a sportautó és a páncélozott teherautó között: az egyik gyors és agilis, a másik mindent elvisz, de nehezebben mozog.

Intel SGX (Software Guard Extensions)

Az Intel megközelítése a sebészi pontosság. Az SGX segítségével az alkalmazásodon belül hozol létre apró, szuperbiztos enklávékat. Nem az egész programot véded, csak a legérzékenyebb részeit.

Az analógia: Képzeld el az alkalmazásodat egy nagy irodaházként. Az SGX nem az egész épületet teszi biztonságossá, hanem lehetővé teszi, hogy építs egy páncélszobát (enklávét) az egyik irodában. A titkos dokumentumokat (adatokat) és a speciális gépeket (kódot) beviszed a páncélszobába, bezárod az ajtót, és ott dolgozol velük. Az épület többi része normálisan működik, de a páncélszobába senki nem lát be.

Ez azt jelenti, hogy az alkalmazásodat fel kell darabolnod egy „megbízható” (trusted) és egy „nem megbízható” (untrusted) részre. A nem megbízható rész intézi a hálózatkezelést, a fájl I/O-t, a felhasználói interakciót. Amikor a titkos adatokkal kell dolgozni, meghív egy függvényt az enklávén belül. Ez a felosztás (partitioning) komoly tervezést és gyakran jelentős kód-átírást igényel.

Intel SGX Modell: Sebészi Pontosság Alkalmazásod Memóriaterülete Nem megbízható rész (Untrusted) Hálózatkezelés Fájl I/O UI, stb. Megbízható rész (Enklávé) Titkos algoritmus Érzékeny adatok ECALL OCALL

AMD SEV (Secure Encrypted Virtualization)

Az AMD a másik végéről fogta meg a problémát. Ahelyett, hogy az alkalmazásokat kellene átírni, az SEV az egész virtuális gépet (VM) titkosítja. A hypervisor elindít egy SEV-képes VM-et, és onnantól kezdve a VM teljes memóriája egyedi kulccsal van titkosítva, amihez a hypervisor sem fér hozzá.

Az analógia: Az irodaház példánál maradva, az AMD SEV nem egy páncélszobát épít, hanem egy láthatatlan, áthatolhatatlan erőteret von az egész épület köré. Bentről minden ugyanúgy néz ki és működik, de kívülről senki nem lát be, és senki nem tud bejutni. Nem kell átépíteni az irodákat, egyszerűen bekapcsolod az erőteret.

Ez a „lift-and-shift” megközelítés. Fogod a meglévő Linuxos alkalmazásodat, Docker konténeredet, és különösebb módosítás nélkül futtatod egy SEV-titkosított VM-ben. Ez sokkal könnyebbé teszi az adoptálást.

Az SEV-nek is vannak evolúciós lépései:

  • SEV-ES (Encrypted State): Ez már a CPU regiszterek állapotát is titkosítja, amikor a VM kontextusváltás miatt „pihen”, így a hypervisor még annyit sem láthat.
  • SEV-SNP (Secure Nested Paging): A legújabb verzió. Védelmet nyújt a memóriamanipulációs támadások (pl. ismétlés, átírás) ellen, amiket a rosszindulatú hypervisor indíthatna. Továbbfejlesztett attesztációs mechanizmust is kínál.
AMD SEV Modell: Teljes VM Titkosítás Hypervisor Titkosított Virtuális Gép (SEV-VM) Vendég Operációs Rendszer A Te Változatlan Alkalmazásod A teljes VM memóriája titkosítva van a host számára.

Összehasonlító Táblázat

Nézzük meg a két technológiát egymás mellett, hogy tisztább legyen a kép.

Jellemző Intel SGX AMD SEV(-ES, -SNP)
Granularitás Alkalmazáson belüli, funkció-szintű izoláció. Teljes virtuális gép (VM) szintű izoláció.
Adoptálás Nehéz. Jelentős kód-átírást (partitioning) igényel. Könnyű. „Lift-and-shift” modell, a meglévő alkalmazások minimális változtatással futtathatók.
Támadási felület (TCB) Nagyon kicsi. Csak a te enklávé kódod és a CPU. Nagyobb. A teljes vendég operációs rendszer és az alkalmazás a megbízható bázis része.
Performancia Magas overhead az enklávéba való be- és kilépéskor (ECALL/OCALL). CPU-intenzív feladatoknál jó, I/O-intenzíveknél lassú lehet. Alacsonyabb, folyamatos overhead a memória titkosítása miatt. Jobban teljesít I/O-intenzív feladatoknál.
Memória korlátok Történelmileg korlátozott volt (128-256MB), de az újabb CPU-k ezt jelentősen megnövelték. A VM számára elérhető teljes memória használható, nincsenek külön enklávé-korlátok.
Analógia Páncélszoba az irodaházon belül. Erőtér az egész irodaház körül.

Na de mi köze ennek az MI-hez? A Koronaékszerek Védelme

Most, hogy értjük a technológiát, térjünk rá, miért is forradalmi ez az AI/ML világában. Az AI modellek és az adatok, amiken dolgoznak, a legértékesebb szellemi tulajdont képezik. A bizalmas számítástechnika végre lehetővé teszi, hogy ezeket az értékeket megvédjük a legsebezhetőbb ponton: a futtatás során.

1. A Modell Védelme (IP Lopás)

Egy state-of-the-art neurális háló betanítása milliókba, akár tízmilliókba is kerülhet. A modell súlyai (weights) a te titkos recepted. Ha egy versenytársad vagy egy rosszindulatú szereplő hozzáfér, lemásolhatja az évek munkáját és a befektetésedet. Ha a modellt egy enklávén belül futtatod inferenciára, a súlyok soha nem hagyják el a titkosított memóriaterületet plaintext formában. A felhőszolgáltató csak egy titkosított „blobot” lát, de nem tudja rekonstruálni a modelledet.

2. Az Adatok Védelme (Adatvédelem és Megfelelőség)

Gondolj az egészségügyre, a pénzügyi szektorra vagy bármilyen területre, ahol szigorú adatvédelmi szabályok (GDPR, HIPAA) vannak. Egy kórház szeretné használni a te fantasztikus rákdiagnosztizáló AI modelledet, de nem küldheti el neked a páciensek adatait, mert az adatvédelmi törvények tiltják. A bizalmas számítástechnika megoldja ezt a patthelyzetet. A kórház elküldheti a titkosított adatokat egyenesen a te modelledet futtató enklávénak. Az attesztációval bizonyítani tudod nekik, hogy az enklávé sértetlen, és te magad sem férsz hozzá a plaintext adatokhoz. Az enklávén belül megtörténik az inferencia, és csak a diagnózis (az eredmény) kerül ki, miközben a bemeneti adatok mindvégig titkosak maradnak még előtted is. Ez új üzleti modelleket nyit meg, ahol több, egymásban nem bízó fél is együttműködhet adatok megosztása nélkül.

3. Ellenőrizhető és Sértetlen Inferencia

Honnan tudja egy felhasználó, hogy az AI-tól kapott eredmény (pl. egy hitelbírálat) valóban az eredeti, auditált, fair modelltől származik, és nem egy manipulált verziótól, ami mondjuk szándékosan diszkriminál? Az attesztáció itt is segít. Az enklávé nem csak a hardver eredetiségét, hanem a benne futó kód (a modell és az inferencia logika) hash-ét is igazolja. A felhasználó vagy egy auditor kriptográfiailag ellenőrizheti, hogy az eredményt a hivatalos, 2.1-es verziójú modell generálta, és nem valami „okosba” módosított variáns.

Bizalmas AI Inferencia Folyamat Ügyfél / Adattulajdonos Érzékeny Adat 🔒 1. Attesztáció kérése 2. Jelentés ellenőrzése Felhő – Biztonságos Enklávé 3. Titkosított adatok fogadása Titkosított Adat 🔒 Titkosított AI Modell 🔒 + Feldolgozás az enklávén belül (Minden dekódolás csak a CPU-ban) 4. Eredmény titkosítása és küldése Titkosított Eredmény 🔒

Az Érem Másik Oldala: Amikor a Páncél Túl Szoros

Mielőtt mindenki rohanna átállítani az összes workloadját enklávékba, legyünk realisták. A bizalmas számítástechnika nem egy varázspálca, ami minden biztonsági problémát megold. Vannak kompromisszumok és kihívások, amikkel tisztában kell lenned.

Performancia Overhead

A biztonság soha nincs ingyen. A memória folyamatos titkosítása és dekódolása, az enklávéba való belépés és kilépés (az SGX esetében ez a hírhedt ECALL/OCALL) mind-mind teljesítménybe kerül. Ez a overhead lehet pár százaléktól kezdve egészen drámai lassulásig, főleg ha az alkalmazásod sokat kommunikál a külvilággal (pl. hálózati I/O). Alaposan mérni és tesztelni kell, hogy a te use case-ed számára elfogadható-e a lassulás.

Side-Channel Támadások

Ez a red teamer kedvenc témája. Az enklávé olyan, mint egy tökéletesen hangszigetelt szoba. Nem hallod, mit beszélnek bent, de… mi van, ha meg tudod mérni a szoba energiafogyasztását? Vagy a falak finom rezonanciáját? Vagy azt, hogy mennyi időt töltenek bent? Ezekből a „mellékcsatornákból” (side channels) következtetni lehet arra, mi történik odabent.

A Spectre és Meltdown-szerű támadások megmutatták, hogy a modern CPU-k spekulatív végrehajtása kihasználható. Bár az enklávék memóriája közvetlenül nem olvasható, bizonyos támadásokkal apró információmorzsákat lehet kiszivárogtatni a cache-időzítésekből vagy más hardveres mellékhatásokból. A gyártók folyamatosan javítják a hardvert és a szoftveres védelmeket, de ez egy állandó macska-egér játék. A bizalmas számítástechnika drasztikusan csökkenti a támadási felületet, de nem teszi nullává.

A GPU Probléma

És itt a nagy elefánt a szobában az AI számára. A legtöbb komoly AI workload GPU-t használ. Hagyományosan a GPU-k a CPU-n kívül helyezkednek el a „bizalmi körön”. Egy enklávéból nem lehetett csak úgy kiküldeni adatot egy GPU-nak feldolgozásra, mert azzal pont a lényeget, az izolációt szüntetnéd meg. Ez sokáig komoly akadálya volt a bizalmas AI-nak.

Szerencsére a helyzet változik. Az NVIDIA a Hopper architektúrával (pl. H100) bevezette a saját Confidential Computing megoldását, ami lehetővé teszi, hogy egy teljes GPU-t egy AMD SEV-SNP VM-hez csatoljanak, és a GPU, valamint a CPU közötti kommunikáció (a PCIe buszon) is titkosított legyen. Ez egy hatalmas lépés előre, de még friss technológia, és megköveteli a legújabb, legdrágább hardvereket.

Bonyolultság

Ez nem egy „kapcsold be és kész” funkció. Főleg az SGX megköveteli, hogy a fejlesztők újragondolják az alkalmazásaik architektúráját. Új eszközökre, SDK-kra és ami a legfontosabb, egy újfajta biztonsági gondolkodásmódra van szükség. Az olyan nyílt forráskódú projektek, mint a Gramine (korábban Graphene-SGX) vagy az EGo, sokat segítenek abban, hogy módosítatlan Linux alkalmazásokat futtassunk SGX enklávékban, de a motorháztető alatt még mindig ott van a komplexitás.

Akkor most mi a teendő? Az Első Lépések

A bizalmas számítástechnika itt van, és maradni is fog. Nem kérdés, hogy az AI biztonság jövőjének egyik alappillére lesz. A kérdés az, hogy te mikor kezdesz el foglalkozni vele.

  1. Készíts fenyegetésmodellt! Mielőtt bármibe belevágnál, tedd fel a kérdést: Mitől félek pontosan? A rosszindulatú adminisztrátortól a felhőben? Egy kernel exploittól? Egy másik bérlőtől a szerveren? Ha a felhőszolgáltató szerepel a fenyegetésmodellben, akkor a Confidential Computing neked szól.
  2. Válaszd ki a fegyvered! Új, zöldmezős projektet indítasz, ahol a maximális biztonság és a minimális támadási felület a cél? Nézd meg az Intel SGX-et. Egy meglévő, komplex alkalmazást akarsz gyorsan, minimális átírással biztonságosabbá tenni? Az AMD SEV valószínűleg a te utad lesz.
  3. Kezdd kicsiben! Ne akard az egész monolitodat azonnal enklávéba rakni. Válassz ki egyetlen, kritikusan fontos mikroszolgáltatást. Ahol a titkos kulcsokat kezeled. Ahol az inferencia történik. Portold azt, mérd a teljesítményt, szerezz tapasztalatot.
  4. Nézz körül az ökoszisztémában! Nem vagy egyedül. A nagy felhőszolgáltatók (Azure, GCP, AWS) mind kínálnak már bizalmas VM-eket. Olyan projektek, mint a Gramine, a Constellation, vagy a Enarx segítenek áthidalni a szakadékot a meglévő alkalmazásaid és a hardveres biztonság között.

A „data-in-use” titkosítás már nem a sci-fi kategória. Egy kézzelfogható, hardveresen kikényszerített valóság. Lehet, hogy ma még bonyolultnak tűnik, de a holnap biztonsági auditján ez lesz az alap elvárás.

És a végső kérdés, amit fel kell tenned magadnak, nem az, hogy szükséged van-e rá. Hanem az, hogy megengedheted-e magadnak, hogy ne legyen, amikor igazán számít.

AI Biztonsági Érettségi Modell: Mérd fel és fejleszd szervezeted védelmi szintjét!

2025.10.17.

AI Fenyegetésmodellezés a Gyakorlatban: STRIDE és MITRE ATLAS workshop útmutató

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit