So mindern Sie häufige Sicherheitsberatungen, die vom Intel Bestätigungsdienst während einer Remote-Bestätigung zurückgegeben werden
Die Remote-Bestätigung für den sgx-ra-Sample gibt den ISV-Enklaven-Trust-Status als: Enklave NICHT VERTRAUENSWÜRDIG zurück – Grund: CONFIGURATION_AND_SW_HARDENING_NEEDED oder CONFIGURATION_NEEDED.
Die Antwort des Intel Attestation Service (IAS) enthielt: advisoryIDs = INTEL-SA-00334, INTEL-SA-00161, INTEL-SA-00219, INTEL-SA-00289
Nachfolgend finden Sie eine Liste der häufigen Sicherheitsberatungen (Security Advisories, SAs), die vom Intel Bestätigungsdienst (IAS) zurückgegeben wurden, und wie Sie diese mindern können:
- INTEL-SA-00334: Load Value Injection (LVI)Deep Dive:
- Aktualisieren Sie Intel® Software Guard Extensions (Intel® SGX) Plattformsoftware (PSW).
- Bauen Sie Enklaven mit der aktualisierten Toolchain ein, um diese vollständig zu mindern.
Hinweis Wenn ein Prozessor von SA-00334 (LVI) betroffen ist, antwortet der Intel Bestätigungsdienst (IAS) immer mit mindestens SW_HARDENING_NEEDED. IAS kann nicht bestimmen, ob ein Kunde seine Enklaven mit der bereits verfügbaren Risikominderung gebaut hat. Die verlassende Partei muss sich die ISVSVN-Version (Enklave-Version) ihrer Enklave anschauen und entscheiden, ob sie auf dem neuesten Stand ist oder nicht. - INTEL-SA-00289: "Plunderorientierte" - Änderungsempfehlung für die Spannungseinstellungen:
- Aktualisieren Sie das BIOS auf die neueste Version vom OEM, der das Übertaktungsschloss-Bit verfügbar macht.
- Aktivieren Sie das Übertaktungsschloss-Bit, wenn es im BIOS verfügbar gemacht wird. Der Plattform-OEM muss das Übertaktungsschloss-Bit im BIOS verfügbar machen. Für Intel Kunden-Referenz-Mainboards ist dies unter dem BIOS-Menü Advanced -> Power & Performance -> CPU - Power Management Control -> CPU Lock configuration -> Übertaktungssperre.
- INTEL-SA-00219: Warnempfehlung zu Prozessorgrafik-Update:
- Deaktivieren Sie die integrierte Grafik oder verwenden Sie spezielle Speicherhandhabungstechniken in Ihren Enklaven. Die Deaktivierung der integrierten Grafik ist erforderlich, um diese Antwort zu löschen.
- INTEL-SA-00161:"L1TF" - 2015er uCode-Update als Teil von INTEL-SA-00115. Hyperthreading deaktivieren
Hinweis | Alle Sicherheitsberatungen müssen abgemildert werden, um alle Ratgeber entfernen zu können. Wenn Sie nur einen der Sicherheitsberatungen abschwächen, wird dies immer noch gezeigt, da nicht alle dieser Sicherheitsberatungen abgemildert wurden. |
Die Antwort des Intel Attestation Service, der Bestätigungsverifizierungsbericht, kann die Intel Sicherheitsberatungen umfassen, die die Schwachstellen beheben, die auf der Plattform zu bestätigen sind. Der Verifizierungsbericht liefert diese Informationen an den vertrauenden Dritten, damit der Dritte basierend auf der Richtlinie entscheiden kann, ob er der Plattform vertrauen soll.
Der Plattformbesitzer oder ISV sollte jede Sicherheitsempfehlung lesen, um zu erfahren, wie sie die einzelnen Schwachstellen abschwächen.