No se pueden determinar los criterios que el Servicio de confirmación remota (IAS) examina para determinar la validez de una plataforma de Intel® Software Guard Extensions (Intel® SGX)

En una confirmación remota, el cliente ofrece una cotización al proveedor de servicio y el proveedor de servicio pasa la cotización al Servicio de confirmación remota (IAS) para su verificación.

¿Qué componentes o materiales utiliza el IAS para evitar el enclave y la plataforma cliente?

El Servicio de confirmación remota (IAS) de Intel® examina solo la cotización enviada por el proveedor del servicio, o en función de terceros, para controlar el enclave y la plataforma cliente.

El enclave de cotización (QE), que es un enclave arquitectónico desarrollado y firmado por Intel, genera la cotización. IAS utiliza los siguientes campos en la Cotización para verificar la identidad del enclave:

• MRENCLAVE
• SR.SIGNER
• ISVPMIDID
• ISVSVN

Estos campos no son modificables por el enclave ISV. Durante el proceso de atestación, el hardware del procesador genera una medición CMAC de la cotización. Si se cambia el CMAC, se produce un error en la atestación.

Solo el QE firmado por Intel podrá obtener la clave de certificación privada durante el paso de aprovisionamiento reconocido por IAS. Cualquier otro enclave, incluso utilizando el código QE de código abierto, no podrá obtener una clave de certificación que el IAS aceptará, ya que no estará firmado por la clave de firma de Intel QE.

Todos esos datos en conjunto comprenden la base de computación confiable (TCB). El IAS mantiene una base de datos de TCBs aceptables para todos los procesadores Intel compatibles con SGX. Durante la afirmación, los datos de la cotización proporcionada se comparan con los TCB de buena calidad conocidos que mantiene Intel, y el informe de atestación generado contiene los resultados de la comparación.