我可以在没有互联网的情况下启动 SGX enclave吗?

问题描述 投票:0回答:1

我目前正在尝试在医疗领域使用intel的隐私计算技术。我想在我们的数据中心建立一些飞地。但数据中心没有连接到互联网,这使得远程认证过程似乎不可行。 如果我需要在数据中心内构建 Enclave,有什么可行的解决方案可以让我的 enclave 得到验证。或者是否可以在没有互联网连接的情况下生成报告和报价?

我的另一个问题是是否可以对飞地进行预先证明并获得证明(或证书)。之后,所有用户请求都可以直接根据之前的证明提出,而无需每次在与 enclave 交互之前都进行远程证明。

intel sgx trusted-execution-environment
1个回答
0
投票

1.是的,您无需连接互联网即可生成并验证新交所报价

在未连接到互联网的数据中心中,您仍然可以使用英特尔数据中心证明基元 (DCAP) 执行远程证明。

本质上,飞地可以配置为使用位于同一数据中心的缓存服务,而不是通过互联网获取英特尔证明服务 (IAS)。英特尔提供了一种名为“配置认证缓存服务”(PCCS) 的参考缓存服务和各种库。

请参阅 https://www.intel.com/content/www/us/en/developer/articles/guide/intel-software-guard-extensions-data-center-attestation-primitives-quick-install-guide.html 了解 DCAP 的介绍和快速安装指南。在您的情况下,由于没有互联网访问,您将需要使用

OFFLINE
缓存填充模式:

在这种填充缓存的方法中,缓存服务将无法访问互联网上的英特尔托管 PCS 服务。它将创建一个平台数据库条目来保存PCK Cert ID检索工具发送的平台注册信息。它将提供一个接口,允许管理工具检索注册队列的内容。管理员工具将在可以访问互联网的平台上运行。它可以从英特尔 PCS 获取平台资料并将其发送到缓存服务。该工具可以在 SGXDataCenterAttestationPrimitives/tools/PccsAdminTool

找到

(来自 https://github.com/intel/SGXDataCenterAttestationPrimitives/blob/main/QuoteGeneration/pccs/README.md#caching-fill-mode

2.是的,如果您的用户信任“证明”,您可以进行“预证明”

RFC 9334:远程认证过程(RATS)架构中,这称为“护照”模型。

例如,验证者服务可以检查 SGX 证明。验证成功后,它向 enclave 颁发令牌或证书。 enclave 向用户(RATS 中的“依赖方”)提供令牌或证书,因此用户检查令牌/证书,而不是 SGX 证明引用本身。这要求用户信任颁发令牌/证书的验证者服务,因为即使应用程序没有在安全区中运行,恶意验证者也可以颁发令牌/证书。

护照式验证服务的一些示例包括Intel Trust AuthorityMicrosoft Azure Attestation。由于这些是 SaaS 产品,您需要互联网连接才能使用它们。

如果与 DCAP 结合使用,Anjuna 策略管理器还可以在没有互联网访问的数据中心环境中使用。

© www.soinside.com 2019 - 2024. All rights reserved.