Nutzungsdetails der PSE
Es kann nicht festgestellt werden, Intel® Software Guard Extensions (Intel® SGX) Komponente die PSE aufruft und wofür sie verwendet wird.
Das Intel® Software Guard Extensions (Intel® SGX) Remote Attestation End-to-End Beispiel erklärt den Zweck der Plattform Services Enklave (PSE):
"Die PSE ist eine architektonische Enklave im Intel SGX Softwarepaket, die Dienstleistungen für vertrauenswürdige Zeit und einetonische Theke liefert. Diese können für den Wiedergabeschutz während der Nonce-Generierung und für die sichere Berechnung der Zeit verwendet werden, für die ein Secret gültig sein sollte."
Die PSE wird hauptsächlich in zwei Szenarien verwendet:
-
Remote-Bestätigung: Weitere Informationen zum Remote-Bestätigungsablauf finden Sie im Abschnitt Remote-Bestätigung und geschützte Sitzungs-Teilbereich im Intel SGX Developer Reference Guide für Windows* und im Intel® Software Guard Extensions Remote Attestation End-to-End-Beispiel. Die PSE kann nur von Enklaven aufgerufen werden. Die ISV-Anwendung, die auch als nicht vertrauenswürdige App bezeichnet wird, weist die Enklave an, PSE über die b_pse verwenden. Die Enklave übergibt dann b_pse an sgx_ra_init, der zur Erzeugung des Remote-Bestätigungs kontexts verwendet wird. Wenn diese Variable gesetzt ist, umfasst Msg3 vom Client bis zum Dienstanbieter Informationen zu Plattformdiensten. Nach Erhalt von Msg3 umfasst die Nutzlast, die der Dienstanbieter an den Intel Bestätigungsdienst (IAS) sendet, PSE Lucio und Nonce. Weitere Informationen zu PSE- und Nonce-Definitionen finden Sie im Abschnitt Nutzlast-Bestätigung Intel SGX Bestätigungs-API-Spezifikationen. Der Bestätigungsbestätigungsbericht, den IAS an den Serviceprovider sendet, umfasst einen Feld namens pseStatusfestStatus,der den Dienstanbieter informiert, ob die Sicherheitseigenschaften des Intel SGX-Plattformdienstes verifiziert und auf dem neuesten Stand sind.
Zur Anforderung von Plattformdienst muss eine PSE-Sitzung eingerichtet werden. Die Enklavenimplementierung im sgx-ra-Sample zeigt, wie sgx_create_pse_session basierend auf dem Wert von b_pse.
- Daten zu Daten, die für Unternehmen verwendet werden: Im Abschnitt "Versiegelte Daten" im Referenzleitfaden für Entwickler von Intel SGX für Windows finden Sie Informationen dazu, wie die von der PSE bereitgestelltentonischen Zähler und Trusted-Time-Dienste zum Schutz der Enklave verwendet werden, die außerhalb der Enklave gespeichert sind (z. B. auf der Festplatte). Weitere Informationen zur Implementierung finden Sie im SealedData-Beispiel Intel SGX SDK für Windows.
Enklaven, die auf Serverhardware ausgeführt werden, verfügen nicht über eine Plattform-Services-Enklave und können keine clientspezifischen Funktionen verwenden.
Die Unterstützung Intel® Software Guard Extensions (Intel® SGX) Plattform-Services wurde von allen Linux*-basierten Plattformen, einschließlich Client-Plattformen, ab dem Intel SGX SDK für Linux 2.9 entfernt.
Die Intel SGX API für kontonische Zähler ist immer noch Teil des Intel® Software Guard Extensions (Intel® SGX) SDK für Windows* und wird auf Windows® 10 Plattformen durch die Intel SGX Platform Software für Windows* unterstützt. Die Intel SGX Plattform-Software für Windows wird in der Regel über Windows Update vom Plattformhersteller installiert.