总结
从飞地访问可信时间的外部英特尔® Software Guard Extensions,有助于防止卷帘回滚或数据重播、攻击
说明
- 尝试使用适用于 Linux* 的 英特尔® Software Guard Extensions(英特尔® SGX)SDK 防止重放攻击
- Linux 英特尔 SGX软件开发套件 (SDK) 缺少单调的计数器API:get_trusted_time()和get_trusted_counter()。
解决方法
在一英特尔® Software Guard Extensions (英特尔® SGX) 飞地的 Linux* 服务器平台上运行,目前无法通过使用新的 API 获得英特尔 SGX时间。一些需要可信时间云服务提供商正在使用远程或集中式可信时间源。对于计数器,有些使用可信平台模块 (TPM)。
- 请参阅可信平台模块库第 3 部分:命令以查找有关TPM2_GetTime TPM2_ReadClock的信息。
- 从 不受信任的应用程序中的函数调用可信时间的外部来源。
- 在 SGX 飞地实施 OCALL,在不受信任的应用程序中调用这些函数。
其他信息:
从 Linux 2.9 英特尔® Software Guard Extensions的 英特尔 SGX SDK 开始,从包括客户端平台在内的所有基于 Linux* 的平台中移除了对云 (英特尔® SGX) 平台服务的支持。
用于英特尔 SGX计数器的 英特尔 SGX API 仍然属于 Windows* 的 英特尔® Software Guard Extensions (英特尔® SGX) SDK 的一部分,并且通过 windows 英特尔 SGX 平台软件在 Windows® 10 平台上受支持。Windows 英特尔 SGX平台软件通常通过平台 OEM 的 Windows 更新安装。