摘要
引用遠端認證服務 (IAS) 使用的結構詳細資料,以證明Intel® Software Guard Extensions指定位址和用戶端平臺
描述
在遠端證明中,客戶向服務供應商提供報價,而服務供應商則將報價傳遞給遠端證明服務 (IAS) 以進行驗證。
IAS 使用哪些元件或材料來證明指定位址和用戶端平臺?
解決方法
Intel® 遠端認證服務 (IAS) 僅檢查服務供應商或依賴協力廠商傳送的報價,以證明指定位址和用戶端平臺。
| 注意 |
如需證明證據有效負載的詳細資訊,請參閱 Intel® Software Guard Extensions (Intel® SGX) 驗證 API 規格的資料結構章節。 |
報價指定位址 (QE) 是由 Intel 開發並簽名的架構指定位址區,產生報價。「報價」中的下欄欄位由 IAS 用來驗證指定位址區的身份:
- MRENCLAVE
- MRSIGNER
- ISVPRODID
- ISVSVN
ISV 指定位址區無法修改這些欄位。在測試過程中,處理器硬體會產生 CMAC 對報價的測量結果。如果 CMAC 已變更,則證明失敗。
只有 Intel 簽名的 QE 才能在 IAS 認可的布建步驟中取得私人證明金鑰。任何其他指定位址區,即使使用開放原始碼 QE 代碼,也無法取得 IAS 將接受的證明金鑰,因為它不會由 Intel QE 簽署金鑰簽署。
所有這些資料一起包含受信任運算基底 (TCB)。對於所有支援 SGX 的 Intel 處理器,IAS 保留可接受的 TCB 資料庫。在測試期間,所提供報價中的資料會與 Intel 維護的已知良好的 TCB 進行比較,而產生的證明報告包含比較結果。