Aprimore a segurança do enclave

Acesse os serviços de nuvem para atestação remota usando ID de privacidade aprimorada (EPID - Enhanced Privacy ID) e certificados de provisionamento. A Intel fornece código e ferramentas que permitem aos provedores de serviços criar e oferecer seu próprio serviço de atestação Intel® Software Guard Extensions (Intel® SGX)  .

Informação do provedor

Duas formas de atestação são suportadas: local e remota. Para ambos os casos, as partes protegidas do aplicativo são carregadas em um enclave que mede seu código e dados e gera um relatório.

Para começar

Para se inscrever em serviços de atestação, implemente o recurso de serviço de atestação remoto em seu aplicativo. Para mais informações, consulte a documentação da API.

Em seguida, verifique o seguinte:

Atestação local

Dois enclaves na mesma plataforma usam seus relatórios para fornecer alguma autenticação um ao outro. Depois de estabelecer tal autenticidade, eles trocam informações em um canal com mais proteção. Uma infraestrutura adicional de hardware ou software, ou uma conexão com um serviço de atestação remota não é necessária.

Atestação remota

Um enclave envia uma proposta para um serviço remoto da parte confiante (RP - Relying Party). O RP, em seguida, obtém alguma validação sobre se um processador Intel® autêntico o gerou. O RP pode então ter mais confiança na autenticidade do enclave e fornecer chaves, credenciais ou dados com mais segurança.

PCs clientes

Para o uso focado na privacidade em PCs ou estações de trabalho, os desenvolvedores podem acessar um serviço de atestação da Intel para enviar e ajudar a verificar evidências de atestação para enclaves. Para provisionar sua chave EPID, essa forma de atestação remota requer que o sistema do usuário tenha acesso à Internet.

A principal função de um serviço de atestação é ajudar a fornecer alguma verificação de que o RP que busca obter mais confiança em um enclave remoto que envia uma proposta do EPID. O serviço então fornece alguma verificação na assinatura EPID da proposta, estabelecendo alguma verificação de que um membro de um grupo EPID válido a assinou.


Figura 1

Empresa, data center e provedores de serviço de nuvem

Esses provedores podem criar e fornecer seu próprio serviço de atestação em vez de usar o serviço de atestação remota da Intel. O serviço de atestação recebe todas as solicitações de atestação, eliminando a necessidade de que as partes confiantes tenham acesso à Internet.

As Intel® Software Guard Extensions Data Center Attestation Primitives e os serviços de certificação de provisionamento dão suporte à atestação do enclave e provisionamento de plataforma para serviços de atestação de terceiros por meio de:

  • Primitivas de código aberto
  • Software
  • Bibliotecas

Para mais informações veja a fig. 1.

Artigo técnico

Serviço de certificação de provisionamento (PCS - Provisioning Certification Service)

Esse conjunto de APIs acessíveis publicamente permite que os provedores de serviços de atestação forneçam o seguinte para suas plataformas de computação específicas para enclaves das Intel SGX:

  • Certificados de provisionamento
  • Listas de revogação
  • Informações base de computação confiável

Suporte de atestação