皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

硬件: Intel SGX 开放第三方证明服务

Intel
HardenedLinux 写道 “TPM/TXT 提供从一定程度的硬件信任根到系统软件的信任链的构建,而应用程序的安全并没有直接纳入 TPM/TXT 的考虑范畴,Intel 近年来一直在大力推动 SGX 作为新一代针对应用程序的 enclave(飞地)方案,SGX 自诞生之日起就引起了众多争议,主要集中在几个方面:1,固件的不可审计带来 后门的风险 。2,过度复杂的设计和实现 增加了攻击平面 。3,对 Intel ME 一些代码模块的依赖导致会受到 ME 漏洞(也包括 SGX 自身漏洞)的影响。4,受到 处理器微架构漏洞 的影响比如 L1TF。5,IAS( Intel Attestation Service)不对第三方开放 ,所以必须信任 Intel 作为远程证明的前提。近日,Intel 终于 开放了第三方证明服务 ,Intel 发布了文档介绍如何 构建自己的证明服务Intel SGX DCAP 使用了一个在固件中实现的新特性 FLC(Flexible Launch Control) 控制哪些 enclaves 被允许使用 CRS(Certificate Retrieval Service) 去访问 PPID(Platform Provisioning Identifier),而那些请求访问 PPID 的 enclave 可以被证明服务提供者签名。Intel 此次开放第三方证明服务对整个生态是好事,可以吸引更多的厂商参与,但自由固件社区更关注的问题 1) 和 3) 依然没有得到解决,自由固件社区的黑客们显然是不可能去信任一个无法审计而且高度依赖来自 Ring -3 世界恶魔 的 enclave 实现,遗憾的是目前的开放 enclave 方案如 Sanctum/Keystone 到生产环境的成熟度还有一段距离。”
转自 https://www.solidot.org/story?sid=59049
分享到:更多 ()