Как работает разделение между приложениями и безопасной вычислительной средой в Trusted Execution Environment?

Разделение между приложениями и безопасной вычислительной средой в Trusted Execution Environment (TEE) происходит на нескольких уровнях: ruscrypto.ru

• Программный уровень. ruscrypto.ru Исполняемый код делится между средами исполнения на доверенные и недоверенные приложения. ruscrypto.ru Также изолируется контекст исполнения доверенных приложений и поддерживается работа с доверенными периферийными модулями на уровне драйверов. ruscrypto.ru
• Аппаратный уровень. ruscrypto.ru Обеспечивается разделение процессорных ядер на исполняющие доверенный код и исполняющие код среды общего назначения. ruscrypto.ru Также разделяется общее ОЗУ системы на доверенную и общедоступную области, общее внутреннее ПЗУ системы и периферийные модули. ruscrypto.ru

В TEE доверенные приложения и связанные с ними данные полностью изолированы от обычной (недоверенной) операционной системы и её приложений. sergioprado.blog При этом доверенные приложения должны работать в изоляции от других доверенных приложений и от самой TEE. sergioprado.blog

Только доверенные приложения, работающие в TEE (безопасный мир), имеют полный доступ к основному процессору, периферийным устройствам и памяти. sergioprado.blog При этом аппаратная изоляция защищает эти ресурсы от недоверенных приложений, работающих в основной операционной системе (небезопасный мир). sergioprado.blog

Для повышения безопасности два доверенных приложения, работающие в TEE, не имеют доступа к данным друг друга, так как они разделены с помощью программного обеспечения и криптографических функций. dualitytech.com