Совершенствование безопасности анклавов

Используйте облачные сервисы для удаленной аттестации с помощью расширенного идентификатора конфиденциальности (EPID) и сертификатов подготовки. Корпорация Intel предлагает к использованию код и средства, позволяющие поставщикам услуг создавать и распространять свои собственные сервисы аттестации на основе Intel® Software Guard Extensions (Intel® SGX).

Информация о поставщике

Существует две поддерживаемых формы аттестации: локальная и удаленная. В обоих случаях защищенные части приложения загружаются в анклав, который выполняет оценку его кода и данных, а затем создает отчет.

Начните разработку

Для регистрации в сервисах аттестации сформируйте функцию сервиса удаленной аттестации в вашем приложении. Для получения дополнительной информации см. документацию по прикладным программным интерфейсам.

Затем проверьте наличие следующего:

Локальная аттестация

Два анклава на одной платформе создают свои отчеты для выполнения обоюдной аутентификации. После аутентификации они обмениваются информацией по каналу с дополнительной защитой. Дополнительная аппаратная или программная инфраструктура, или подключение к удаленному сервису аттестации не требуются.

Удаленная аттестация

Анклав отправляет квоту удаленному сервису доверяющей стороны. Затем доверяющая сторона осуществляет некоторую проверку данных, а именно, были ли они созданы подлинным процессором Intel®. После этого доверяющая сторона может больше полагаться на анклав и безопаснее обрабатывать ключи, учетные данные или информацию.

Клиентские ПК

Для обеспечения конфиденциальности данных на ПК или на рабочих станциях разработчики могут использовать сервис аттестации Intel для отправки и проверки возможностей аттестации анклавов. Для подготовки ключа EPID данная форма удаленной аттестации требует, чтобы система пользователя имела доступ к Интернету.

Основная роль сервиса аттестации заключается в помощи обеспечения некоторой проверки того, что доверяющая сторона получит дополнительный уровень защиты удаленного анклава, приславшего свою квоту EPID. Затем сервис выполняет проверку подписи квоты EPID для подтверждения подлинности члена группы EPID.


Рисунок 1

Корпорации, центры обработки данных и поставщики облачных сервисов

Эти поставщики могут создавать и предлагать для использования собственные сервисы аттестации вместо службы удаленной аттестации Intel. Такой сервис аттестации получает все запросы аттестации, что исключает необходимость наличия у проверяющих сторон доступа к Интернету.

Примитивы аттестации Intel® Software Guard Extensions Data Center Attestation Primitives и функции подготовки сервисов сертификации поддерживают аттестацию анклавов и подготовку платформ для аттестации сервисами сторонних компаний через:

  • Примитивы с открытым исходным кодом
  • Программное обеспечение
  • Библиотеки

Для получения дополнительной информации см. рис. 1.

Статья

Сервис подготовки сертификации (PCS)

Этот набор общедоступных прикладных программных интерфейсов позволяет поставщикам услуг аттестации предлагать следующие функции для своих вычислительных платформ с анклавами на основе Intel SGX:

  • Сертификаты подготовки
  • Списки аннулирования
  • Информация о доверенной вычислительной базе

Аттестационная поддержка