Warum bietet Intel eine separate Distribution von GNU Binary Utilities (binutils) für Intel® Software Guard Extensions unter Linux* an?

• Die Intel® Software Guard Extensions (Intel® SGX) Installationsanleitung für Linux* empfiehlt, die Risikominderungstools mit dem Namen as.ld.objdump.gold.r2.tar.gz aus dem binären Intel SGX Linux-Repository herunterzuladen.
• Es konnte nicht validiert werden, inwiefern sich die von Intel bereitgestellten Binutils von den aktuellen Standard-Binutils unterscheiden.

Intel stellt eine Teilmenge des Standards GNU Binutils 2.35 ohne Änderungen zur Verfügung, da viele der Repositories der Linux-Distributionen weder auf 2.35 noch auf 2.36 aktualisiert wurden. Intel wird die Untermenge Bunutils 2.35 weiterhin bereitstellen, bis die Repositories der meisten Linux-Distributionen Binutils 2.35 oder höher enthalten.

Intel empfiehlt, Intel SGX Anwendungen mit ld.gold und nicht mit ld zu verknüpfen, da ld.gold beim Verknüpfen von Code schreibgeschützte ausführbare Segmente erzwingt. Schreibgeschützte, nicht ausführbare Speichersegmente tragen zur Härtung von Enklaven bei, da sie einen Pufferüberlauf und andere Speicherangriffe verhindern. Angreifer können in diese Speichersegmente keinen Code schreiben oder ausführen. Es wurde auch berichtet, dass ld.gold ein schnellerer Linker als LD ist.

Link mit:

ld.gold --rosegment

oder

-Wl,-fuse-ld=gold –Wl,--rosegment

Die Intel SGX Installationsanleitung für Linux befindet sich im Dokumentationsordner der neuesten Version des Intel® Software Guard Extensions SDK für Linux*.