如何減少 Intel 證明服務在遠端證明期間退回的一般安全公告
sgx-ra-sample的遠端證明返回 ISV 飛地信任狀態為:飛地不可信任 - 原因:CONFIGURATION_AND_SW_HARDENING_NEEDED或 CONFIGURATION_NEEDED。
Intel 證明服務 (IAS) 的回應包括 :advisoryID = INTEL-SA-00334、INTEL-SA-00161、INTEL-SA-00219、INTEL-SA-00289
以下是 Intel 證明服務 (IAS) 退回的一般安全公告 (SA) 清單,以及如何減少它們:
- INTEL-SA-00334:載入值注入 (LVI)深入探討:
- 更新 Intel® Software Guard Extensions (Intel® SGX) 平臺軟體 (PSW)。
- 使用更新的工具鏈建立飛地,以完全緩解問題。
注意 如果處理器受到 SA-00334 (LVI) 的影響,Intel 證明服務 (IAS) 將始終回復至少 SW_HARDENING_NEEDED 。 IAS 無法判斷客戶是否已採用風險降低措施來打造他們的飛地。 依賴方必須查看其飛地的 ISVSVN(飛地版本),並判斷其是否最新。 - INTEL-SA-00289:「Plundervolt」- 電壓設定修改公告:
- 從 OEM 更新 BIOS 至揭露超頻鎖定位的最新版本。
- 如果超頻鎖定位在 BIOS 中公開,則啟用。平臺 OEM 必須在 BIOS 中公開超頻鎖定位。針對 Intel 客戶參考主機板,它在 BIOS 功能表下 Advanced -> Power & Performance -> CPU - 電源管理控制 -> CPU Lock configuration ->超頻鎖定 。
- INTEL-SA-00219:處理器繪圖更新公告:
- 停用 整合式顯示晶片,或在飛地使用特殊記憶體處理技術。若要清除此回應,需要停用整合式顯示晶片。
- INTEL-SA-00161:「L1TF」-作為 INTEL-SA-00115 的一部分,修改執行端通道 - uCode更新。停用 超執行緒
注意 | 必須減少所有安全性公告,以移除任何公告。如果您僅減少其中一個安全性公告,它仍會顯示,因為並非所有安全性建議都得到緩解。 |
Intel 證明服務(即證明驗證報告)的回應可能包含解決在被證明的平臺中發現漏洞的 Intel 安全公告。驗證報告會向信賴的協力廠商提供此資訊,以便協力廠商根據政策決定是否信任平臺。
平臺擁有者或 ISV 應閱讀每個安全諮詢,瞭解如何減少每個漏洞。