SGX飞地控制结构SGX Enclave Control Structure(SECS) 线程控制结构Thread Control Structure (TCS) State State Area(SSA) 页面信息Page Information (页面信息) 安全信息Security Information(SECINFO) 分页加密元数据Paging Crypto MetaData (PCMD) 版本数组Version Array (VA) 安全区页面缓存映射Enclave Page Cache Map...
OE没有发布方便的API,例如Intel SGX SDK的sgx_seal_data和sgx_unseal_data,它使用预先确定的固定加密算法(AES-GCM)进行加密,而是决定只提供获取密封密钥的通用例程,并将加密算法留给enclave开发者选择他们认为合适的算法。 OE 支持的两种密封密钥类型: OE_SEAL_POLICY_UNIQUE 这种类型的密封密钥是由enclave的测量结果...
SGX提供的功能大多数是在微指令中实现,但是保护内存不受物理攻击主要是由CPU中的MEE(memory encryption engine)硬件单元提供,这个硬件通过对保护内存读写的解密加密,保证了数据只有在CPU中的enclave内存中才是明文。 SGX的内存管理 SGX提供的软件隔离执行环境主要是通过一套特殊的内存管理机制来实现的。如图 1: 上图为...
首先,确认Intel CPU支持SGX功能。在Intel ARK官网搜索CPU型号,如Intel i3 8350K,查看其是否具备SGX特性。进入BIOS,进入"Advanced"菜单,选择"CPU Configuration"。在该页面找到并开启SGX功能,模式选择为"Software Controlled"。此模式下,SGX功能会在软件关闭时释放内存,提供给系统使用。安装Windows 10系...
内存隔离:除了加密保护,SGX 技术还提供了内存隔离功能,确保 Enclave 中的代码和数据不会被其他程序访问或修改。当 Enclave 启动时,SGX 技术会为 Enclave 分配一块 SGX 内存,只有 Enclave 内部的代码才能访问和修改这块内存。对于外部程序和操作系统来说,Enclave 中的数据是不可见的,确保了 Enclave 中数据的机密性和...
与英特尔SGX SDK一样,Open Enclave SDK目前只支持构建单一的二进制 enclave 。与英特尔SGX SDK一样,这些二进制文件也必须用一组特定的包含物和构建标志来构建。 为了简化指定正确构建参数的过程,Open Enclave SDK提供了一套pkg-config设置: Building enclave or host binary ...
Intel SGX是指 Software Guard Extensions SGX最早在2013年推出,主要是在计算机平台上提供一个可信的空间(TEE),保障用户关键代码和数据的机密性和完整性。 SGX (Software Guard Extensions)是一项面向应用程序开发人员的英特尔技术。英特尔从第 6代英特尔® 酷睿™ 处理器平台开始引入了英特尔软件防护扩展新指令集,...
区别是:可信执行技术(TXT)是Intel公司的可信计算技术,主要用于解决启动进程完整性验证和提供更好的数据保护。intel SGX被设计用于保护应用程序的机密信息,主要是在大型平台里保护微量敏感数据和关键代码的,另外还提供了对这些代码和数据的远程证明功能。 Intel可信执行技术(TXT) ...
注意1:如果电脑硬件不支持SGX功能, 则不需要安装PSW软件。开发工作只能通过SGX SDK里面内置的模拟器来运行调试enclave程序。 注意2:SGX有些相关的安全功能需要Intel Management Engine(ME)提供(单向计数器monotonic counter和实时时钟RTC)以及互联网连接,所以建议安装SGX SDK及PSW时保持互联网连接,并且安装完全版的Inte...