CWE (https://cwe.mitre.org/) Common Weakness Enumeration - классификатор уязвимостей программных и аппаратных компонентов.
CVE (https://www.cve.org/) - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей, в применении к конкретным программным компонентам. Как правило, опубликованные CVE содержат в себе ссылки на класс уязвимости по CWE.
В статье при перечислении классов атак намеренно применяются отсылки именно к CWE, как к классификатору.
Поскольку связан NDA с предыдущим работодателем, не могу прокомментировать по существу. Но если говорить в целом, то по этим причинам мы развиваем независимую от silicon-вендоров реализацию TEE OS.
Действительно, реализаций TEE существует достаточно много, перечислять их все наверное нет особого смысла, так как статья в целом не обзорная по реализациям. Насчёт QSEE могу сказать, что по моим сведениям сейчас Qualcomm препятствует запуску сторонних реализаций на своих типах, позволяя разрабатывать только TA под QSEE. Third-party разработчикам от этого легче не становится, так как TA подписываются вендором смартфона, и сторонние TA вряд ли могут на это рассчитывать.
P.S. если есть информация про запуск именно сторонних реализаций самой TrustZone OS на современных чипах Qualcomm — буду рад если поделитесь ссылкой.
Да, спасибо! Мы стараемся внимательно следить за патентной чистотой.
Код Samsung Teegris закрыт, а по функционалу все Trustzone OS ± одинаковы. В статье в целом идёт речь о подходе к адаптации конкретного Open-Source решения с использованием стандартных механизмов, которые предоставляет ARM TrustZone.
Справедливое замечание, поправим рисунок
Например hsm может быть в представлен в виде usb-токена, или же отдельного сервера в локальной сети, на котором выполняются доверенные операции.
CWE (https://cwe.mitre.org/) Common Weakness Enumeration - классификатор уязвимостей программных и аппаратных компонентов.
CVE (https://www.cve.org/) - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей, в применении к конкретным программным компонентам. Как правило, опубликованные CVE содержат в себе ссылки на класс уязвимости по CWE.
В статье при перечислении классов атак намеренно применяются отсылки именно к CWE, как к классификатору.
Действительно, реализаций TEE существует достаточно много, перечислять их все наверное нет особого смысла, так как статья в целом не обзорная по реализациям. Насчёт QSEE могу сказать, что по моим сведениям сейчас Qualcomm препятствует запуску сторонних реализаций на своих типах, позволяя разрабатывать только TA под QSEE. Third-party разработчикам от этого легче не становится, так как TA подписываются вендором смартфона, и сторонние TA вряд ли могут на это рассчитывать.
P.S. если есть информация про запуск именно сторонних реализаций самой TrustZone OS на современных чипах Qualcomm — буду рад если поделитесь ссылкой.
Код Samsung Teegris закрыт, а по функционалу все Trustzone OS ± одинаковы. В статье в целом идёт речь о подходе к адаптации конкретного Open-Source решения с использованием стандартных механизмов, которые предоставляет ARM TrustZone.