Mejore la seguridad de los enclaves

Acceda a servicios de nube para autenticación remota utilizando certificados de suministro e identificación de privacidad mejorada (EPID). Intel ofrece código y herramientas que permiten a los proveedores de servicios ofrecer su propio servicio de autenticación Intel® Software Guard Extensions (Intel® SGX) .

Información del proveedor

Se admiten dos formas de autenticación: local y remota. En ambos casos, las partes protegidas de la aplicación se cargan en un enclave que mide su código y sus datos, y genera un informe.

Comenzar

Para inscribirse en los servicios de autenticación, implemente la capacidad de servicio de autenticación remota en su aplicación. Para obtener más información, consulte la documentación de la API.

Luego asegúrese de que esté instituido lo siguiente:

Autenticación local

Dos enclaves en la misma plataforma utilizan los informes para proporcionarse autenticación mutuamente. Luego de establecer tal autenticidad, intercambian información en un canal con más protección. No se requiere una infraestructura de hardware o software adicional, ni una conexión a un servicio de autenticación.

Autenticación remota

Un enclave envía una cita (quote) a un servicio remoto de un usuario de confianza (relying party, RP). Luego la RP obtiene alguna validación acerca de si un procesador Intel® auténtico la generó. La RP puede entonces confiar más en la autenticidad del enclave y proporcionar de manera más segura claves, credenciales o datos.

PC cliente

Para uso privado en PC o estaciones de trabajo, los desarrolladores pueden acceder a un servicio de autenticación de Intel con el fin de enviar y ayudar a verificar evidencia de autenticación para enclaves. Para proporcionar su clave EPID, esta forma de autenticación remota requiere que el sistema del usuario tenga acceso a Internet.

La función principal de un servicio de autenticación es ayudar a proporcionar algún tipo de verificación de que la RP que está tratando de tener más confianza en un enclave remoto envía una cita EPID. El servicio entonces ofrece una verificación de la firma EPID de la cita, estableciendo cierto nivel de verificación de que un integrante de un grupo EPID válido la firmó.


Figura 1

Empresas, centros de datos y proveedores de servicios de nube

Estos proveedores podrían desarrollar y proporcionar su propio servicio de autenticación en lugar de utilizar el servicio de autenticación remota de Intel. El servicio de autenticación recibe todas las solicitudes de autenticación, eliminado la necesidad de que los usuarios de confianza tengan acceso a Internet.

Intel® Software Guard Extensions Data Center Attestation Primitives y el suministro de servicios de autenticación admiten la provisión de plataformas y la autenticación de enclaves para servicios de autenticación de terceros por medio de:

  • Primitivos de código abierto
  • Software
  • Bibliotecas

Para obtener más información, consulte la Fig. 1.

Documento técnico

Provisioning Certification Service (PCS)

Este conjunto de API de acceso público permite que los proveedores de servicios de autenticación ofrezcan lo siguiente para sus plataformas informáticas específicas de un enclave con Intel SGX:

  • Certificados de suministro
  • Listas de revocación
  • Información de base de computación confiable

Asistencia para autenticación