文章 ID: 000057197 內容類型: 錯誤訊息 最近查看日期: 2021 年 08 月 25 日

在遠端證明期間,ISV 飛地信任狀態為「不可信任的飛地 - 原因:CONFIGURATION_AND_SW_HARDENING_NEEDED」

BUILT IN - ARTICLE INTRO SECOND COMPONENT
摘要

如何減少 Intel 證明服務在遠端證明期間退回的一般安全公告

描述

sgx-ra-sample的遠端證明返回 ISV 飛地信任狀態為:飛地不可信任 - 原因:CONFIGURATION_AND_SW_HARDENING_NEEDED或 CONFIGURATION_NEEDED。

Intel 證明服務 (IAS) 的回應包括 :advisoryID = INTEL-SA-00334、INTEL-SA-00161、INTEL-SA-00219、INTEL-SA-00289

解決方法

以下是 Intel 證明服務 (IAS) 退回的一般安全公告 (SA) 清單,以及如何減少它們:

  • INTEL-SA-00334:載入值注入 (LVI)深入探討:
    1. 更新 Intel® Software Guard Extensions (Intel® SGX) 平臺軟體 (PSW)。
    2. 使用更新的工具鏈建立飛地,以完全緩解問題。
    注意如果處理器受到 SA-00334 (LVI) 的影響,Intel 證明服務 (IAS) 將始終回復至少 SW_HARDENING_NEEDED IAS 無法判斷客戶是否已採用風險降低措施來打造他們的飛地。 依賴方必須查看其飛地的 ISVSVN(飛地版本),並判斷其是否最新。
  • INTEL-SA-00289:「Plundervolt」- 電壓設定修改公告:
    1. OEM 更新 BIOS 至揭露超頻鎖定位的最新版本。
    2. 如果超頻鎖定位在 BIOS 中公開,則啟用。平臺 OEM 必須在 BIOS 中公開超頻鎖定位。針對 Intel 客戶參考主機板,它在 BIOS 功能表下 Advanced -> Power & Performance -> CPU - 電源管理控制 -> CPU Lock configuration ->超頻鎖定 。
  • INTEL-SA-00219:處理器繪圖更新公告:
    • 停用 整合式顯示晶片,或在飛地使用特殊記憶體處理技術。若要清除此回應,需要停用整合式顯示晶片。
  • INTEL-SA-00161:「L1TF」-作為 INTEL-SA-00115 的一部分,修改執行端通道 - uCode更新。停用 超執行緒
注意必須減少所有安全性公告,以移除任何公告。如果您僅減少其中一個安全性公告,它仍會顯示,因為並非所有安全性建議都得到緩解。

 

額外資訊

Intel 證明服務(即證明驗證報告)的回應可能包含解決在被證明的平臺中發現漏洞的 Intel 安全公告。驗證報告會向信賴的協力廠商提供此資訊,以便協力廠商根據政策決定是否信任平臺。

平臺擁有者或 ISV 應閱讀每個安全諮詢,瞭解如何減少每個漏洞。

相關產品

本文章適用於 1 產品

這個頁面的內容綜合了英文原始內容的人工翻譯譯文與機器翻譯譯文。本內容是基於一般資訊目的,方便您參考而提供,不應視同完整或準確的內容。如果這個頁面的英文版與譯文之間發生任何牴觸,將受英文版規範及管轄。 查看這個頁面的英文版。