Luotettu suoritusympäristö

Luotettu suoritusympäristö (engl. trusted execution environment, TEE) tarkoittaa tietotekniikassa suojattavan tiedon turvalliseen käsittelyyn tarkoitettua tekniikkaa. Tarkoituksena on varmistaa tiedon luottamuksellisuus sekä todistaa suoritusympäristön turvallisuus.^[1] Erään määritelmän mukaan luotettu suoritusympäristö on erillinen suoritusympäristö käyttöjärjestelmän rinnalla, jossa on korkeampi turvallisuus ja on riittävä useimpiin tarpeisiin.^[2]

Enklaavi (engl. enclave) on suojattu tietoliikenneverkko, jonka kautta luottamuksellista tietoa käsitellään.^[3] Se on joukko järjestelmäresursseja samalla tietoturva-alueella, jotka jakavat yhden yhteisen ja jatkuvan turvarajan.^[4]

Sovelluksien ja tiedon suojaamiseksi muodostetaan eriytetty muistialue, jota käytetään sovellusohjelman suorittamiseen luotetussa ympäristössä (engl. trusted execution environment, TEE). Toteutustekniikoita ovat muun muassa ARM TrustZone, AMD Secure Encrypted Virtualization ja Intel Software Guard Extensions.^[5] Amazon EC2-pilvipalvelussa on Nitro Enclave -ominaisuus.^[6]

Ongelmat

Intelin SGX-toteutuksesta on löydetty haavoittuvuuksia.^[7]

Applen Macintosh-koneissa käytetystä T2-piiristä on löydetty haavoittuvuuksia, joilla koneen saa täyteen hallintaan.^[8]

Useissa tapauksissa on todettu väärinymmärryksiä sekä virheellisiä väitteitä suojauksista. Eräänä perusteena käytölle pidetään etäisiä paikkoja, joissa fyysisesti kajoaminen laitteistoon on riski. Tutkijat ovat kuitenkin löytäneet keinoja kiertää kaikkien valmistajien turvaominaisuudet mikäli laitteistoon pääsee fyysisesti koskemaan. TEE-suojaus tuntemattomassa pilvipalvelussa on aina altis fyysiselle menetelmälle, jolla suojaus voidaan kiertää.^[9]

Lähteet

↑ Burns Smith & William Wang: Using trusted execution environments for advertising use cases blog.mozilla.org. 3.12.2024. Viitattu 31.10.2025. (englanniksi)
↑ The Trusted Execution Environment (PDF) 2011. Arkistoitu Viitattu 31.10.2025. (englanniksi)
↑ Data Enclave nnlm.gov. Arkistoitu 19.10.2020. Viitattu 18.10.2020. (englanniksi)
↑ RFC 4949
↑ Why Enclaves are Taking over the Security World infosecurity-magazine.com. 6.9.2019. Viitattu 18.10.2020. (englanniksi)
↑ Add support for Nitro Enclaves lwn.net. 21.4.2020. Viitattu 18.10.2020. (englanniksi)
↑ Intel SGX 'safe' room easily trashed by white-hat hacking marauders: Enclave malware demo'd theregister.co.uk. 12.2.2019. Viitattu 8.4.2020. (englanniksi)
↑ Apple's T2 chip has an unfixable vulnerability that could allow root access appleinsider.com. Viitattu 18.10.2020. (englanniksi)
↑ Dan Goodin: New physical attacks are quickly diluting secure enclave defenses from Nvidia, AMD, and Intel arstechnica.com. 29.10.2025. Viitattu 31.10.2025. (englanniksi)

[1] Burns Smith & William Wang: Using trusted execution environments for advertising use cases blog.mozilla.org. 3.12.2024. Viitattu 31.10.2025. (englanniksi)

[2] The Trusted Execution Environment (PDF) 2011. Arkistoitu Viitattu 31.10.2025. (englanniksi)

[3] Data Enclave nnlm.gov. Arkistoitu 19.10.2020. Viitattu 18.10.2020. (englanniksi)

[4] RFC 4949

[5] Why Enclaves are Taking over the Security World infosecurity-magazine.com. 6.9.2019. Viitattu 18.10.2020. (englanniksi)

[6] Add support for Nitro Enclaves lwn.net. 21.4.2020. Viitattu 18.10.2020. (englanniksi)

[7] Intel SGX 'safe' room easily trashed by white-hat hacking marauders: Enclave malware demo'd theregister.co.uk. 12.2.2019. Viitattu 8.4.2020. (englanniksi)

[8] Apple's T2 chip has an unfixable vulnerability that could allow root access appleinsider.com. Viitattu 18.10.2020. (englanniksi)

[9] Dan Goodin: New physical attacks are quickly diluting secure enclave defenses from Nvidia, AMD, and Intel arstechnica.com. 29.10.2025. Viitattu 31.10.2025. (englanniksi)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]