Ir al contenido principal
Base de conocimientos de asistencia

Recibir el estado de confianza de ISV Enclave como "Enclave NO CONFIABLE - Razón: CONFIGURATION_AND_SW_HARDENING_NEEDED" durante la certificación remota

Tipo de contenido: Mensajes de error   |   ID del artículo: 000057197   |   Última revisión: 25/08/2021
Descripción Resolución Más información

Descripción

Certificación remota en las devoluciones sgx-ra-sample de estado de confianza de enclave de ISV como: Enclave NO CONFIABLE - Razón: CONFIGURATION_AND_SW_HARDENING_NEEDED o CONFIGURATION_NEEDED.

La respuesta del Servicio de certificación de Intel incluye: avisos = INTEL-SA-00334, INTEL-SA-00161, INTEL-SA-00219, INTEL-SA-00219, INTEL-SA-00289

Resolución

A continuación, se muestra una lista de avisos de seguridad (AS) comunes devueltos por el Servicio de certificación de Intel (IAS) y cómo mitigarlos:

  • INTEL-SA-00334: Iny. valor de carga (LVI)Inmersión profunda:
    1. Actualice el software Intel® Software Guard Extensions (Intel® SGX) de plataforma (PSW).
    2. Cree enclaves con la cadena de herramientas actualizada para mitigar completamente.
    NotaSi un procesador se ve afectado por SA-00334 (LVI), el servicio de certificación de Intel siempre responderá con al menos SW_HARDENING_NEEDED. La IAS no puede determinar si un cliente ha construido sus enclaves con las mitigaciones medidas.  El usuario de confianza debe mirar a ISVSVN (versión de enclave) de su enclave y decidir si está actualizado o no.
  • INTEL-SA-00289: "Plundervolt" - Aviso de modificación de ajustes de voltaje:
    1. Actualice el BIOS a la versión más reciente del OEM que expone el bit de bloqueo de overclocking.
    2. Habilite el bit de bloqueo de overclocking si se expone en el BIOS. El OEM de la plataforma debe exponer el bit de bloqueo de overclocking en el BIOS. Para las placas de referencia del cliente de Intel, está bajo el menú del BIOS Advanced -> Power & Performance -> CPU - Power Management Control -> CPU Lock -> overclocking lock.
  • INTEL-SA-00219: Aviso sobre la actualización de gráficos del procesador:
    • Desactive los gráficos integrados o utilice técnicas especiales de manejo de memoria en sus enclaves. Se requiere deshabilitar los gráficos integrados para borrar esta respuesta.
  • INTEL-SA-00161:"L1TF" - Speculative Execution Side Channel - actualización de uCode como parte de INTEL-SA-00115.  Desactivar el hyperthreading
NotaTodos los avisos de seguridad deben mitigarse para eliminar cualquiera de los avisos. Si mitiga solo uno de los avisos de seguridad, se seguirá a mostrar porque no todos se mitigaron.

 

Más información

La respuesta del Servicio de certificación de Intel, el Informe de verificación de la certificación, puede incluir los avisos de seguridad de Intel que abordan las vulnerabilidades que se encuentran en la plataforma a la que se está a atajo. El Informe de verificación proporciona esta información al tercero que depende para que el tercero pueda decidir, según la política, si debe confiar en la plataforma.

El propietario de la plataforma o ISV deben leer cada aviso de seguridad para aprender cómo mitigar cada vulnerabilidad.

Descargos de responsabilidad legales

El contenido de esta página es una combinación de la traducción humana y automática del contenido original en inglés. Este contenido se ofrece únicamente para su comodidad como información general y no debe considerarse completa o precisa. Si hay alguna contradicción entre la versión en inglés de esta página y la traducción, prevalecerá la versión en inglés. Consulte la versión en inglés de esta página.

¿Necesita más ayuda?

Póngase en contacto con la asistencia
Póngase en contacto con la asistencia