Detalles de uso del PSE
No se puede determinar Intel® Software Guard Extensions componente (Intel® SGX) invoca la PSE y para qué se utiliza
El Intel® Software Guard Extensions (Intel® SGX) de certificación remota de extremo a extremo explica el propósito de Platform Services Enclave (PSE):
"El PSE es un enclave arquitectónico incluido en el paquete de software Intel SGX software que proporciona servicios para tiempos de confianza y un contador monotónico. Estos se pueden utilizar para la protección de repeticiones durante la generación nonce y para el cálculo seguro de la duración del cual un secreto debe ser válido."
El PSE se utiliza principalmente en dos escenarios:
-
Certificación remota: consulte la sección Certificación remota y establecimiento de sesión protegida en la Guía de referencia para desarrolladores de Intel SGX para Windows* y en el ejemplo de extremo a extremo de la certificación remota de Intel® Software Guard Extensions para obtener detalles sobre el flujo de estación de estación remota. Solo enclaves pueden invocar el PSE. La aplicación isv, también conocida como aplicación no leal, le dice al enclave que utilice PSE a través de la variable b_pse móvil. A continuación, el enclave b_pse a sgx_ra_init, que se utiliza para generar el contexto de ateststation remoto. Cuando se establece esta variable, a partir del cliente al proveedor de servicios, se incluye información sobre servicios de plataforma, desde el cliente hasta el proveedor de servicios de plataforma. Una vez que reciban Marca 3, la carga que el proveedor de servicio envíe al Servicio de certificación de Intel (IAS) incluirá un Manifestación de PSE y nonce. Consulte la sección Carga de prueba de certificación de Intel SGX especificación de API de certificación para obtener definiciones de PSE Manifest y nonce. El Informe de verificación de la certificación que IAS envía al proveedor de servicios incluye un campo llamado pseManifestEnsa, que le indica al proveedor de servicios si las propiedades de seguridad del servicio de la plataforma Intel SGX fueron verificadas y actualizadas.
Se debe establecer una sesión del PSE para solicitar el servicio de plataforma. La implementación del enclave en el sgx-ra-sample muestra cómo utilizar sgx_create_pse_session sobre la base del valor de b_pse.
- Datos de conservación: Consulte la sección Datos sellados de la Guía de referencia para desarrolladores de Intel SGX para Windows para obtener información sobre cómo los servicios de tiempo de confianza y contador monotónico, proporcionados por la PSE, se utilizan para proteger los enclaves que se almacenan fuera del enclave, como en el disco. Consulte el ejemplo SealedData en el SDK Intel SGX para Windows para obtener detalles de implementación.
Los enclaves que se ejecutan en hardware de servidor no tienen un enclave de servicios de plataforma y no pueden utilizar características específicas del cliente.
Se eliminó la asistencia para Intel® Software Guard Extensions (Intel® SGX) Platform Services de todas las plataformas basadas en Linux*, incluidas las plataformas cliente, comenzando con Intel SGX SDK for Linux 2.9.
La API Intel SGX para contadores monotónicos todavía forma parte del SDK de Intel® Software Guard Extensions (Intel® SGX) para Windows* y es compatible con plataformas Windows® 10 a través del software de plataforma Intel SGX para Windows*. El Intel SGX de plataforma para Windows se instala normalmente a través de Windows Update por medio del fabricante de la plataforma.