Artikel-ID: 000057197 Inhaltstyp: Fehlermeldungen Letzte Überprüfung: 25.08.2021

Empfang des ISV-Enklaven-Vertrauensstatus als "Enklave NICHT VERTRAUENSWÜRDIG – Grund: CONFIGURATION_AND_SW_HARDENING_NEEDED" während der Remote-Bestätigung

BUILT IN - ARTICLE INTRO SECOND COMPONENT
Zusammenfassung

So mindern Sie häufige Sicherheitsberatungen, die vom Intel Bestätigungsdienst während einer Remote-Bestätigung zurückgegeben werden

Beschreibung

Die Remote-Bestätigung für den sgx-ra-Sample gibt den ISV-Enklaven-Trust-Status als: Enklave NICHT VERTRAUENSWÜRDIG zurück – Grund: CONFIGURATION_AND_SW_HARDENING_NEEDED oder CONFIGURATION_NEEDED.

Die Antwort des Intel Attestation Service (IAS) enthielt: advisoryIDs = INTEL-SA-00334, INTEL-SA-00161, INTEL-SA-00219, INTEL-SA-00289

Lösung

Nachfolgend finden Sie eine Liste der häufigen Sicherheitsberatungen (Security Advisories, SAs), die vom Intel Bestätigungsdienst (IAS) zurückgegeben wurden, und wie Sie diese mindern können:

  • INTEL-SA-00334: Load Value Injection (LVI)Deep Dive:
    1. Aktualisieren Sie Intel® Software Guard Extensions (Intel® SGX) Plattformsoftware (PSW).
    2. Bauen Sie Enklaven mit der aktualisierten Toolchain ein, um diese vollständig zu mindern.
    HinweisWenn ein Prozessor von SA-00334 (LVI) betroffen ist, antwortet der Intel Bestätigungsdienst (IAS) immer mit mindestens SW_HARDENING_NEEDED. IAS kann nicht bestimmen, ob ein Kunde seine Enklaven mit der bereits verfügbaren Risikominderung gebaut hat.  Die verlassende Partei muss sich die ISVSVN-Version (Enklave-Version) ihrer Enklave anschauen und entscheiden, ob sie auf dem neuesten Stand ist oder nicht.
  • INTEL-SA-00289: "Plunderorientierte" - Änderungsempfehlung für die Spannungseinstellungen:
    1. Aktualisieren Sie das BIOS auf die neueste Version vom OEM, der das Übertaktungsschloss-Bit verfügbar macht.
    2. Aktivieren Sie das Übertaktungsschloss-Bit, wenn es im BIOS verfügbar gemacht wird. Der Plattform-OEM muss das Übertaktungsschloss-Bit im BIOS verfügbar machen. Für Intel Kunden-Referenz-Mainboards ist dies unter dem BIOS-Menü Advanced -> Power & Performance -> CPU - Power Management Control -> CPU Lock configuration -> Übertaktungssperre.
  • INTEL-SA-00219: Warnempfehlung zu Prozessorgrafik-Update:
    • Deaktivieren Sie die integrierte Grafik oder verwenden Sie spezielle Speicherhandhabungstechniken in Ihren Enklaven. Die Deaktivierung der integrierten Grafik ist erforderlich, um diese Antwort zu löschen.
  • INTEL-SA-00161:"L1TF" - 2015er uCode-Update als Teil von INTEL-SA-00115.  Hyperthreading deaktivieren
HinweisAlle Sicherheitsberatungen müssen abgemildert werden, um alle Ratgeber entfernen zu können. Wenn Sie nur einen der Sicherheitsberatungen abschwächen, wird dies immer noch gezeigt, da nicht alle dieser Sicherheitsberatungen abgemildert wurden.

 

Weitere Informationen

Die Antwort des Intel Attestation Service, der Bestätigungsverifizierungsbericht, kann die Intel Sicherheitsberatungen umfassen, die die Schwachstellen beheben, die auf der Plattform zu bestätigen sind. Der Verifizierungsbericht liefert diese Informationen an den vertrauenden Dritten, damit der Dritte basierend auf der Richtlinie entscheiden kann, ob er der Plattform vertrauen soll.

Der Plattformbesitzer oder ISV sollte jede Sicherheitsempfehlung lesen, um zu erfahren, wie sie die einzelnen Schwachstellen abschwächen.

Zugehörige Produkte

Dieser Artikel bezieht sich auf 1 Produkte

Der Inhalt dieser Seite ist eine Kombination aus menschlicher und computerbasierter Übersetzung des originalen, englischsprachigen Inhalts. Dieser Inhalt wird zum besseren Verständnis und nur zur allgemeinen Information bereitgestellt und sollte nicht als vollständig oder fehlerfrei betrachtet werden. Sollte eine Diskrepanz zwischen der englischsprachigen Version dieser Seite und der Übersetzung auftreten, gilt die englische Version. Englische Version dieser Seite anzeigen.