Thông tin chi tiết về việc sử dụng PSE
Không thể xác định thành phần Intel® Software Guard Extensions (Intel® SGX) nào kích hoạt PSE và nó được sử dụng cho mục Intel® SGX nào
Ví dụ đầu cuối xác thực từ Intel® Software Guard Extensions (Intel® SGX) remote Attestation giải thích mục đích của Platform Services Enclave (PSE):
"PSE là một kiến trúc bao gồm trong gói phần mềm Intel SGX cung cấp dịch vụ cho thời gian đáng tin cậy và bộ đếm đơn âm. Chúng có thể được sử dụng để bảo vệ phát lại trong thế hệ nonce và để tính toán an toàn độ dài thời gian mà một bí mật nên hợp lệ."
PSE được sử dụng chủ yếu trong hai tình huống:
-
Chứng thực từ xa: Tham khảo phần Chứng thực từ xa và Hỗ trợ phiên được bảo vệ trong Hướng dẫn tham khảo của nhà phát triển Intel SGX cho Windows* và đến Ví dụ đầu cuối chứng thực từ xa Intel® Software Guard Extensions để biết chi tiết về luồng chứng thực từ xa. Chỉ có enclaves mới có thể gọi PSE. Ứng dụng ISV, còn được gọi là ứng dụng không tin tưởng, bảo enclave sử dụng PSE thông qua biến b_pse mềm. Enclave sau đó chuyển b_pse để sgx_ra_init, được sử dụng để tạo ra ngữ cảnh xác thực từ xa. Khi biến số này được thiết lập, Msg3, từ máy khách đến nhà cung cấp dịch vụ, bao gồm thông tin dịch vụ nền tảng. Khi nhận được Msg3, khối lượng công việc mà nhà cung cấp dịch vụ gửi đến Dịch vụ Chứng thực Intel (IAS) sẽ bao gồm Biểu hiện theo PSE và nonce. Tham khảo phần Chứng nhận Tải trọng bằng chứng của Thông số API Intel SGX Chứng thực cho các định nghĩa của PSE Và Nonce. Báo cáo xác minh máy attestation mà IAS gửi đến Nhà cung cấp dịch vụ bao gồm một trường có tên là pseManistationStatus, cho nhà cung cấp dịch vụ biết nếu thuộc tính bảo mật của Dịch vụ nền tảng Intel SGX đã được xác minh và cập nhật.
Phiên PSE phải được thiết lập để yêu cầu dịch vụ nền tảng. Việc triển khai enclave trong mẫu sgx-ra cho thấy cách sử dụng sgx_create_pse_session dựa trên giá trị của b_pse.
- Ẩn dữ liệu: Tham khảo phần Dữ liệu bịa đặt trong Hướng dẫn Tham khảo Nhà phát triển Intel SGX dành cho Windows để biết thông tin về cách Bộ đếm Đơn âm và Dịch vụ Thời gian tin cậy được cung cấp bởi PSE, được sử dụng để bảo vệ các bí mật về enclave được lưu trữ bên ngoài enclave, chẳng hạn như trên đĩa. Xem mẫu Dữ liệu niêm phong trong Intel SGX SDK cho Windows để biết chi tiết triển khai.
Enclave chạy trên phần cứng máy chủ không có Enclave Dịch vụ Nền tảng và không thể sử dụng các tính năng cụ thể của máy khách.
Hỗ trợ cho Intel® Software Guard Extensions (Intel® SGX) Platform Services đã bị xóa khỏi tất cả các nền tảng dựa trên Linux*, bao gồm các nền tảng máy khách, bắt đầu bằng Intel SGX SDK cho Linux 2.9.
API Intel SGX cho bộ đếm đơn âm vẫn là một phần của SDK Intel® Software Guard Extensions (Intel® SGX) cho Windows* và được hỗ trợ trên các nền tảng Windows® 10 thông qua Phần mềm nền tảng Intel SGX cho Windows*. Phần mềm Intel SGX mềm dành cho Windows thường được cài đặt thông qua Cập nhật Windows từ nhà sản xuất nền tảng.