Intel SGX安装指南(Ubuntu20.04)

最新推荐文章于 2023-11-29 17:19:07 发布
最新推荐文章于 2023-11-29 17:19:07 发布
阅读量1.3k 收藏 9
点赞数
文章标签: linux ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhh078/article/details/132273182
版权

目录

服务器linux操作系统:Ubuntu20.04
服务器linux内核版本:5.15
特别注意:Linux SGX的兼容性不强,对于不同版本的操作系统环境,安装步骤都存在一定差异,因此本文仅适用于Ubuntu20.04环境,对于其他的Ubuntu版本乃至CentOS等其他Linux操作系统都不保证能够完全匹配。

前言

Intel Software Guard Extensions(Intel SGX)是Intel对于可信执行环境(TEE)的一种实现,是一套基于硬件底层的安全技术。Intel SGX的诞生较早,且在近年来持续更新,体量庞杂,依赖多,有较多历史遗留问题。Intel最新使用Trust Domain Extensions(TDX)技术替代了SGX,然而由于其诞生之初,配套的框架、支持以及文档较少,因此较难使用。
Intel SGX有关的安装文档并不完整,且官方文档中也存在许多描述不清晰的地方,在安装过程中遇到了许多阻力。
因此,本文记录了安装Intel SGX过程中的所有步骤和部分遇到的问题,希望能够有所帮助。

前置要求

首先需要注意的是,如需要安装并正常使用Intel SGX,服务器或主机处理器必须要支持SGX特性。是否支持SGX与处理器型号相关,可以访问英特尔官网查询处理器芯片型号的具体参数。
例如,本文使用的处理器为英特尔至强E-2314处理器,其官网产品链接为https://www.intel.cn/content/www/cn/zh/products/sku/212259/intel-xeon-e2314-processor-8m-cache-2-80-ghz/specifications.html,在“安全性与可靠性”分栏中,有“英特尔® Software Guard Extensions —— Yes”这一项,表明其支持SGX特性。如果不存在该行则证明处理器不支持SGX特性,无法使用。
SGX作为一项有些过时的技术,新出产的处理器大多不支持SGX特性,因此如果需要使用SGX,需要谨慎选择处理器型号。

  • 开启系统SGX支持

    在确认处理器型号满足要求后,也需要保证主机在开机时开启了这一特性。

    • 在开机过程中点击F2进入BIOS设置
    • 选择系统安全页签
    • 打开SGX支持
    • 退出BIOS设置,系统将自动重启,重启后系统将支持SGX环境

  • 安装必要工具

    sudo apt-get install gcc
sudo apt-get install git
sudo apt-get install curl
sudo apt-get install make
sudo apt-get upgrade make

Linux SGX Driver安装(选做)

linux SGX driver为SGX环境运行必要驱动。

linux内核5.11版本以上已自动安装linux SGX driver,可跳过该步骤,无需手动安装。

若手动安装,则linux-sgx-driver为OOT版本,后续gramine安装需指定参数为OOT。

手动安装linux-sgx-driver能否运行SGX环境尚未验证,最好应保证linux内核版本在5.11以上。

参考链接:https://github.com/intel/linux-sgx-driver

  • 安装内核头文件

    sudo apt-get install linux-headers-$(uname -r)

  • 从仓库下载源文件并编译

    默认安装路径为/opt/intel/

    cd /opt/intel/
git clone https://github.com/intel/linux-sgx-driver.git
cd linux-sgx-driver
make

  • 安装

    sudo mkdir -p "/lib/modules/"`uname -r`"/kernel/drivers/intel/sgx"    
sudo cp isgx.ko "/lib/modules/"`uname -r`"/kernel/drivers/intel/sgx"    
sudo sh -c "cat /etc/modules | grep -Fxq isgx || echo isgx >> /etc/modules"    
sudo /sbin/depmod
sudo /sbin/modprobe isgx

Intel SGX SDK与Intel SGX PSW安装

Intel SGX SDK为SGX开发工具包,Intel SGX PSW为SGX软件开发平台,二者为SGX开发以及后续Gramine框架开发的必要依赖环境。

参考链接:https://github.com/intel/linux-sgx

  • 安装Intel SGX SDK和Intel SGX PSW的前置环境

    • 安装编译SDK和PSW的包

      sudo apt-get install build-essential ocaml ocamlbuild automake autoconf libtool wget python libssl-dev git cmake perl
sudo apt-get install libssl-dev libcurl4-openssl-dev protobuf-compiler libprotobuf-dev debhelper cmake reprepro unzip

    • 获取linux SGX仓库

      git clone https://github.com/intel/linux-sgx.git

      注意:获取仓库必须使用git clone,不能下载zip压缩包后再使用git init。

      若服务器无法访问github等外网环境,则需要将下载的步骤在本地执行,并将下载的文件上传到服务器对应位置中,然后将原脚本中的下载指令注释。

      具体步骤为:

      1. 本地克隆linux-sgx仓库,并将其关联仓库一并下载。在本地克隆的仓库路径下执行linux-sgx/Makefile的第53行git submodule update --init --recursive,并将脚本中的该行指令注释(具体行数可能与版本相关有所变化)。

      2. 在本地执行linux-sgx/external/dcap_source/QuoteVerification/prepare_sgxssl.sh的第49行wget https://github.com/intel/intel-sgx-ssl/archive/lin_2.19_1.1.1t.zip,并将脚本中的该指令注释(具体行数可能与版本相关有所变化)。将下载下来的文件文件放置于linux-sgx/external/dcap_source/QuoteVerification/sgxssl文件夹中。sgxssl文件夹需要手动创建。

    • 执行准备

      sudo make preparation

    • 构建SDK和PSW安装包

      sudo make sdk
sudo make sdk_install_pkg
sudo make psw

      该步骤若报错缺少头文件,即make preparation中的部分库安装不到位,需要重新检查问题并执行该语句。

  • 安装SDK

    sudo apt-get install build-essential python
cd linux/installer/bin

# 询问是否安装在当前文件夹的时候,选择“no”,然后输入/opt/intel/, 即将SGX SDK安装在/opt/intel/文件夹下
./sgx_linux_x64_sdk_2.19.100.3.bin

  • 安装PSW

    sudo apt-get install libsgx-launch libsgx-urts
sudo apt-get install libsgx-epid libsgx-urts
sudo apt-get install libsgx-quote-ex libsgx-urts
sudo apt-get install libsgx-dcap-ql

测试

  • 开启Intel SGX环境

    安装完毕后,需要手动开启SGX环境。

    source /opt/intel/sgxsdk/environment

  • 测试Intel SGX环境样例程序

    cd /opt/intel/sgxsdk/SampleCode/LocalAttestation
make
cd bin
./app

    如果程序能够成功运行,即表明Intel SGX安装成功。

有关Gramine的安装,以及如何配合Intel SGX进行使用,将在下一篇进行记录。

IceCent
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Windows10下使用Intel SGX功能(一):环境搭建
shuizhongmose的专栏
02-24 4625
Windows 10 下测试 Intel SGX功能。
Ubuntu20.04+Intel SGX(一):环境安装与测试
shuizhongmose的专栏
06-19 3891
ubuntu20.04上配置SGX环境
Intel SGX学习笔记(1):虚拟机Ubuntu20.04配置Intel SGX环境
m0_47575110的博客
03-27 4128
Intel SGX学习笔记(虚拟机Ubuntu20.04下的环境搭建)
Linux ubuntu20.04 安装使用 Intel sgx
最新发布
小立仔
11-29 1642
Linux ubuntu20.04 安装使用 Intel sgx
ubuntu18.04 安装SGX
weixin_43848357的博客
05-29 413
ubuntu18.04中安装intel sgx
虚拟机下Ubuntu18.04配置sgx环境
Mrs_McAvoy的博客
02-27 979
虚拟机下Ubuntu18.04配置sgx环境
Intel SGX 软件包安装指南,非常适合 SGX 初学者
08-22
The installation of the Intel Software Guard Extensions (Intel SGX) software packages for Ubuntu OS or Red Hat Enterprise Linux begins with the installation of the proper Intel SGX Driver. After you ...
Win10安装Intel SGX的SDK
03-17
Win10安装Intel SGX的SDK,具体用法可以看文章《Win10安装Intel SGX的SDK》https://blog.csdn.net/qq_41565526/article/details/119810522#comments_25594687
SGX-hardware:这是支持英特尔SGX的硬件的列表-Software Guard Extensions
05-03
SGX硬件列表这是支持Intel SGX-Software Guard Extensions的硬件的列表。桌面CPU和主板BIOS必须支持SGXSGX默认情况下处于关闭状态,必须通过MSR.IA32_Feature_Control.SGX_Enable启用。 只有BIOS才能对IA32_...
Intel 安全防护扩展 SGX 开发指南,非常适合 SDK 初学者或者入门者
08-14
Intel Software Guard Extensions (Intel SGX)1 2 offers hardware-based memory encryption that isolates specific application code and data in memory. Intel SGX allows user-level code to allocate private...
最新 Intel SGX SDK 、PSW、DCAP for Windows
05-13
用于windows环境下在Visual Studio中创建sgx程序(Enclave项目),在可信环境中运行代码。
Intel SGX SDK PSW ME_SW
11-20
Windows Intel SGX SDK和PSW,2.7版的,适合VS2015和VS2017,最新的好像是2.11版本了,想要的下载吧,或者用最新的也挺好使的。还有适合WIN8.1和WIN10的ME_SW,安装SGX SDK前最好先安装一下ME_SW吧。
Intel SGX PSW for Windows v2.0.101.44269
07-24
配套sdk使用 (1)允许应用开发者保护敏感信息不被运行在更高特权等级下的欺诈软件非法访问和修改。 (2)能够使应用可以保护敏感代码和数据的机密性和完整性并不会被正常的系统软件对平台资源进行管理和控制的功能所扰乱。 (3)使消费者的计算设备保持对其平台的控制并自由选择下载或不下载他们选择的应用程序和服务。 (4)使平台能够验证一个应用程序的可信代码并且提供一个源自处理器内的包含此验证方式和其他证明代码已经正确的在可信环境下得到初始化的凭证的符号化凭证。 (5)能够使用成熟的工具和处理器开发可信的应用软件. (6)Allow the performance of trusted applications to scale with the capabilities of the underlying application processor. (7)使软件开发商通过他们选择的分销渠道可以自行决定可信软件的发布和更新的频率。 (8)能够使应用程序定义代码和数据安全区即使在攻击者已经获得平台的实际控制并直接攻击内存的境况下也能保证安全和隐秘。
sgx官方文档
07-28
sgxintel开发的新一代可信执行环境的硬软件套件。不仅提供了硬件环境,包括cpu指令,enclave内存环境。还提供了配套的c语言以及其他依赖
Intel SGX SDK for Windows v2.0.101.44299
07-24
SGX全称Intel Software Guard Extensions,顾名思义,其是对因特尔体系(IA)的一个扩展,用于增强软件的安全性。这种方式并不是识别和隔离平台上的所有恶意软件,而是将合法软件的安全操作封装在一个enclave中,保护其不受恶意软件的攻击,特权或者非特权的软件都无法访问enclave,也就是说,一旦软件和数据位于enclave中,即便操作系统或者和VMM(Hypervisor)也无法影响enclave里面的代码和数据。Enclave的安全边界只包含CPU和它自身。SGX创建的enclave也可以理解为一个可信执行环境TEE(Trusted Execution Environment)。不过其与ARM TrustZone(TZ)还是有一点小区别的,TZ中通过CPU划分为两个隔离环境(安全世界和正常世界),两者之间通过SMC指令通信;而SGX中一个CPU可以运行多个安全enclaves,并发执行亦可。当然,在TZ的安全世界内部实现多个相互隔离的安全服务亦可达到同样的效果。
Intel SGX SDK &PSW 2.4
01-31
**Intel SGX SDK & PSW 2.4 知识点详解** Intel Software Guard Extensions (SGX) 是Intel处理器的一项安全技术,旨在为应用程序提供安全的执行环境,保护敏感数据和代码不受攻击者、恶意软件甚至操作系统本身的...
Ubuntu 20.04安装Intel sgx
weixin_43292691的博客
08-26 3816
Ubuntu 20.04安装Intel sgx 安装sgx drive 准备工作 检查是否安装了匹配的内核头文件 dpkg-query -s linux-headers-$(uname -r) 安装匹配的内核头文件 sudo apt-get install linux-headers-$(uname -r) 生成驱动模块 /linux-sgx-driver-master# make 安装驱动 sudo mkdir -p "/lib/modules/"`uname -r`"/kernel/dr
Ubuntu18.04配置sgx环境】
myt1018的博客
04-28 5878
Ubuntu18.04中配置sgx环境: 提示:本教程仅仅适用于Ubuntu18.04系统,而不一定适合ubuntu虚拟机 提示:本教程仅仅适用于bios中支持sgx的电脑,配置真实环境,不使用模拟环境 步骤: 在电脑上装好ubuntu18.04系统 在bios中开启sgx服务,设置大小为128MB(这是我电脑支持最大的了,更大的应该也行) 安装sgx驱动 安装sgx sdk 安装sgx psw 测试样例enclave程序 学习时间: 提示:这里可以添加计划学习的时间 例如: 周一至周五晚上 7
最近在安装sgx,困惑和收获如下
qq_37367692的博客
09-04 911
最近在安装Ubuntu18.04上安装sgx,困惑和收获如下
ubuntu23安装intel SGX
08-01
很抱歉,但是根据提供的引用内容,Intel SGX SDK并不支持Ubuntu 23。根据引用[1]中提供的信息,Intel提供了Ubuntu 16.04/18.04/20.04的预编译版本,但没有提到支持Ubuntu 23。因此,如果你想在Ubuntu 23上安装Intel SGX,你可能需要等待Intel发布相应的支持或者使用其他操作系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值