代码角度理解SGX的认证机制(三):远程认证

最新推荐文章于 2024-06-29 23:00:34 发布
最新推荐文章于 2024-06-29 23:00:34 发布
阅读量4.6k 收藏 19
点赞数 5
分类专栏: SGX 文章标签: SGX Inter Enclave
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36517978/article/details/107201985
版权
  1. SGX 远程证明
    1.  和EPID证明协议不同,SGX不允许信任各方充当EPID验证的角色。而是由intel提供一个全球在线验证机构叫做intel 认证服务 (IAS)。
    2. EPID认证协议涉及两个intel控制的服务,和两个独立单元。两个intel控制的服务为一个QE和一个IAS,充当认证提供者和验证者。两个独立单元中,ISV认证enclave充当认证提供者,证明服务充当认证者。
    3. The Quoting Enclave:提供远程认证的一个架构enclave,佳作Quotes。它被平台的attestation key签名。因为attestation key被平台的Provisioning Seal key封装,因此仅PvE和QE可以获取attestation key。通过在intel签名的SIGSTRUCT中配置属性为这两个enclave提供此特权。
    4. 为了确保Quotes运行在一个合适的enclave模式,QE服务仅作为本地证明使用,它接收一个本地认证的EREPORT并验证它,如果EREPORT合法,QE就用平台attestation key对本地报告签名,转换到Quote中。
    5. SGX service providers:称为服务提供商的参与方,可以是没有SGX的硬件。 服务提供商应向IAS注册并满足一组Intel定义的要求,以便为IAS验证提交证明证据。该注册将服务提供商的TLS证书绑定到一个唯一的服务通过商ID(SPID),并允许访问IAS服务。这些服务主要包括:ISVenclave Quotes,更新的认证撤销列表,过去的IAS验证报告。
    6. Remote attestation modes:QE支持两种具有不同链接属性的Quote签名模式,全匿名和伪匿名。
      1. 简单来说,intel 需要enclave对basename属性签名,如果basename是不可变的则,通过attestation key对basename多次签名结果也不变,通过这种方式,可以区分不同的用户,这种叫做伪匿名;如果basename是随机生成的则无法通过签名结果区分是不是来自同一个用户,这种叫做完全匿名。
      2. enclave的可链接性属性由使用平台唯一的attestation key签名的basename 参数确定。使用相同的attestation key对相同的basename参数进行多次签名会产生易于链接的伪匿名。服务提供商使用此模式来跟踪用户,并在防止用户攻击的同时保护用户的隐私。当使用伪匿名Quote时,IAS首先验证所使用的basename 已与该特定服务提供商相关联[6]。 IAS的这一角色强制了用户在不同服务提供商之间的匿名隔离。相比之下,通过在不同的basename 上签名多个签名的方案,要确定在enclave中是否使用了相同的 attestation key是不可行的,从而保留了平台的匿名性。因此,使用随机的basename 来签署完全匿名的Quotes。
    7. Revocation lists:SGX目前有三个类型的撤销列表(RLs):Group-RL(EPID组撤销列表),Priv-RL(一个EPID组里的所有被撤销的私钥),Sig-RL(一个元组,包含一个basename及它相应的同一EPID组已撤销的所有成员的签名)
  2. 远程证明协议
    1. 首先,ISV enclave将初始请求发送到所需的远程服务提供商。 该请求包括EPID,标识该平台属于该组。
    2. 如果服务提供商希望为要求保护的小组的成员提供服务,则可以通过向IAS请求更新的Sig-RL(与平台的特定小组相对应)来继续。
    3. 然后,服务提供商将构造一个challenge消息,该challenge消息包括其SPID,随机数nonce,更新的组Sig-RL和可选的basename 参数(如果需要伪匿名签名)
    4. 如果enclave支持请求的签名模式,则用EREPORT指令去生成一个本地验证报告交个平台的QE。为了在enclave和服务提供商之间建立一个认证安全通道,会将一个新生成的临时公钥添加到本地报告的附加数据域。这个EREPORT和服务提供商的challenge一起发送到QE。
    5. QE用EGETKEY指令获取report key验证EREPORT。
      1. 成功的话,QE使用EGETKEY指令获取平台的Provisioning Seal Key,这个key用来解密平台的远程 attestation key(EPID private key)。
      2. attestation key先是用来根据签名模式对challenged的basename或者一个随机值签名来生成一个签名的标识符。如果使用的是非随机的basename,则签名是伪匿名,否则是全匿名的。
      3. attestation key再用来计算平台身份签名(MRENCLAVE)上的两个知识签名。第一个证明身份签名是由英特尔认证的密钥签名的。 第二个是非撤销的证据,它证明用于身份签名的密钥没有在challenged Sig-RL中列出。 然后,Quotes使用IAS的公钥进行加密,IAS的公钥在QE代码中硬编码,然后将结果发送回证明区域。
      4. QUOTE 中包含认证enclave的身份标识,执行模式(例如svn等级),认证enclave的相关的附加数据。
    6. enclave然后转发Quote到服务提供商去验证。
    7. 因为Quote是加密的,需要intel去验证。服务提供商把Quote发送到IAS去验证。
    8. IAS通过首先根据其身份签名验证其EPID证明来检查Quote。 然后,验证这个平台没有在Priv-RL这个撤销列表中列出,通过计算撤销列表中每个私钥对Quote 的basename签名,并验证这些签名均不等于Quote的身份签名,从而验证平台未在Priv-RL组中列出。 这样就完成了平台的有效性检查,然后IAS创建一个新的证明验证报告(verification report)作为对服务提供商(SP)的响应。 证明验证报告包括平台为证明Quote提供的Quote结构。
    9. 一个合法的认证验证报告说明enclave运行在一个真实的Intel SGX 处理器上边。然后,SP负责验证ISV enclave身份并向平台提供适当的响应。
simplelin0
关注
专栏目录
REZONE: Disarming TrustZone with TEE Privilege Reduction
baron-周贺贺-代码改变世界ctw
08-01 76
在TrustZone辅助的TEE中,受信任的操作系统对安全和正常世界的内存都有不受限制的访问权限。不幸的是,这种架构限制为攻击者提供了一个探索的途径,他们展示了如何利用一系列漏洞劫持受信任的操作系统并完全控制系统,目标是(i)丰富的执行环境(REE),(ii)所有受信任的应用程序(TAs),以及(iii)安全监控器。在本文中,我们提出了REZONE。REZONE设计背后的主要创新在于利用在商用现货(COTS)平台上可用的与TrustZone无关的硬件原语来限制受信任的操作系统的权限。
共享学习:蚂蚁金服数据孤岛解决方案
蚂蚁金服技术团队
08-20 6953
如果有A、B、C位同学,他们各自手上有10、15、20块钱,这时需要在相互不知道对方有多少钱的情况下,不借助力第方来计算个人一共有多少钱。请问这时候,我们如何实现呢?——这,就是最经典的秘密共享场景。在看完这篇文章后,答案就出来了~ 背景 互联网时代,一切基于数据。 随着人工智能的兴起,数据的质量和数量,已经成为影响机器学习模型效果最重要的因素之一,因此通过数据共享的模式来“扩展”数据...
Intel SGX Developer Reference 学习笔记(六)
TTTT的博客
03-21 1245
 在这之前,一直想学习关于SGX实操性的、应用相关的内容,我浏览了相关资料,总觉得跟不上那些作者的脚步,学到的都是些零零碎碎的知识,收获都不是很大,一边阅读还在一边质疑资料的可读性,所以我决定返朴归真,静下心来好好看一看官网的手册,并作一些笔记方便自己的日后学习。 手册下载地址: Intel® Software Guard Extensions (InteSGX) SDK for Linux* OS Intel® Software Guard Extensions SDK Sample Code
SGX系列教程】(五)Intel-SGX 官方示例分析(SampleCode)——RemoteAttestation
最新发布
tutu_hu的博客
06-29 1405
SGX系列教程,官方示例分析--RemoteAttestation,着重分析SGX远程认证代码全流程和认证原理!
Intel SGX远程认证SGX手册截图】
小气球归来的博客
07-22 2255
Intel_SGX_Developer_Reference_Linux_2.6_Open_Source》100页有本地认证的流程图。(懒得自己画了) 代码仓库:https://github.com/intel/linux-sgx/tree/master/SampleCode/RemoteAttestation
代码角度理解SGX认证机制(一):本地认证
彡丶氵的博客
07-08 4913
一、基本概念 1、认证(attestation): 是指一个enlave中的程序向其他enclave证明其完整性和真实性的过程。intel SGX认证即是一个在SGX平台上运行的ISV enclave(证明者)希望来向远程enclave(验证者)证明其身份(MRENCLAVE)、和确实是在真实的SGX处理器上正确的隔离执行。 1)本地认证:同一个平台上的两个不同enclave之间认证 2)远程认证enclave所属平台外的软件验证其真实性 2、MRENCLAVE 和 MRSIG...
SGX Attestation
叶卡捷琳堡的博客
12-04 356
同一平台上有两个飞地,称为飞地A和飞地B。我们假设它们已经在彼此之间建立了通信路径,并且该路径不需要信任。W.l.o.g我们假设B要求A证明它与B在同一平台上运行。首先,B检索其MRENCLAVE值,并通过不可信通道将其发送给A。A使用EREPORT指令,使用B的MRENCLAVE为B生成报告。然后A将该报告发送回B。A还可以在报告中包括Diffie-Hellman密钥交换数据,作为未来创建可信通道的用户数据。
远程证明技术
weixin_44783366的博客
03-02 885
斜体样式 [1]周婕.可信网络连接架构及关键技术研究[J].计算机与数字工程,2016,44(09):1774-1779. 1)基于TPM的可信度量机制:按照某种方法度量主机的安全状态信息,记录度量事件日志; 2)可信报 告机制,所有的主机安全状态度量信息被嵌入在主机的TPM模块,用 其AIK签名,允许远程主机验证其度量信息; 3)远程证 明 传 输 协 议:确保可信报告即度 量信息和日志信息在传输过程的机密性和完整性; 4)度量信息的验证和可信度评估:根据可信报告中的可信度量信息,验 证 度量信 息,评估
SafeKeeper:使用可信执行环境保护Web密码
加拿大康考迪亚大学,m.mannan@concordia.ca0N.Asokan,芬兰阿尔托大学,asokan@acm.org0摘要0密码是迄今为止在Web上最广泛使用的用户认证机制,从可部署性(例如成本和兼容性)的角度来看,它们优于所
【直播回顾】冲量在线参加联盟金融科技慕课学院第五期:基于可信执行环境构建更安全的数据流通方案
impulseonline的博客
07-19 409
7月8日,由北京金融科技产业联盟秘书处与与中国银联联合推出的线上直播栏目“金融科技慕课学院”第五期开播。在本期直播中,冲量在线联合创始人&CTO陈浩栋以《基于可信执行环境构建更安全的数据流通方案》为题,着重介绍隐私计算可信执行环境技术如何赋能各行业场景的安全数据流通,详细阐述隐私保护行业和相关基础技术的发展现状,重点介绍如何基于TEE的技术特点设计统一通用的可信数据流通平台,并详解国产化TEE平台技术发展与实践,同时介绍与分析金融、政务、电信等不同行业的数据流通需求异同、解决方案与实践方法。 隐私.
可信计算中的远程证明
08-11
可信计算中的远程证明,介绍了可信计算的概念,以及核心功能,远程证明
学术交流 | InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛
aK031999的博客
03-17 2399
隐私计算研习社 InForSec定于2023年4月8日~9日(周六、日)在南方科技大学举办“InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛”。本次学术活动将邀请在网络空间安全顶级会议上发表论文的研究者分享他们的最新研究成果,并就研究过程中的灵感、经验和体会进行深入交流。此次邀请的议题覆盖网安研究领域的诸多前沿问题,包括“软件和系统安全”“体系结构安全”“移动安全”“网络安全”“AI安全”等。主题:InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛时间:20
代码角度理解SGX认证机制(四):SGX密钥相关
彡丶氵的博客
07-08 3534
英特尔SGX认证涵盖了在安全区中运行的软件的身份(例如MRENCLAVE和MRSIGNER),不可测量的状态(例如安全区模式(例如,调试与生产),安全区要与其自身关联的其他数据( (例如,描述软件配置的清单),以及与平台TCB的密码绑定。 该信息被捆绑到称为报告的数据结构中。 利害关系方检查报告中包含的属性,以决定飞地的可信度。 密钥导出图示(具体素材请看:SGX Key Properties) Root Provisioning Key(RPK):由iKGF生成的key,intel和SG..
可信计算理论与技术--远程证明技术
热门推荐
lal_lal的博客
12-25 1万+
远程证明技术 1 远程证明概述 2 远程证明原理 3 平台身份证明 4 平台完整性证明
平台证明作为服务——云安全采用本地证明,网格安全采用远程证明
毛文波的专栏
04-25 3167
本文原文为英文:Attestation as a Service—Local Attestation for Cloud Security vs. Remote Attestation for Grid Security,是作者于同日发表在EMC Community Network (EMC社区网络), 见 https://community.emc.com/blogs/WenboMao/2010
安全利器!龙蜥推出机密计算远程证明服务—OAAS 诚邀广大用户测试
weixin_60347558的博客
05-06 574
OAAS 具有极高的安全性和灵活性,并在内部实现了策略引擎,旨在为使用可信执行环境 (TEE) 的用户提供一个安全高效的远程证明免部署解决方案,满足在各类机密计算应用场景下的核心信任需求。
代码角度理解SGX认证机制(二):配置
彡丶氵的博客
07-08 1964
平台配置 配置过程是指SGX设备向intel证明其权威性以及其CPU SVN和其他系统组件属性的过程,以获取反映其SGX真实性和TCB版本的Attestation key。该过程在平台初始化阶段完成,在attestation key丢失或者TCB 恢复的时候才会重新配置。TCB 恢复是因为发布更新以补救某些系统组件(例如固件,BIOS或体系结构安全区漏洞)的关键安全问题。 attestation key :是SGX 系统的核心,信赖方将有效的认证签名作为英特尔签名的证书来信任,以保证平台的真实...
通俗理解SGX attestation
ChainingBlocks
02-18 4015
英特尔CPU从第六代酷睿开始增加了SGX特性,含有Intel Xeon版服务器级的CPU也包含了,比如Intel Xeon E3 v6。它是Software Gaurd Extensions的缩写,目的是从硬件实现信息安全。简单来讲就是英特尔通过硬件来实现一个安全的沙盒。这里一个电脑可以分为安全的沙盒和不安全的沙盒外部环境。沙盒外面的环境被认为是有可能被黑客或者恶意者完全操控的,是不安全的。沙盒外...
Intel SGX SDK开发者指南:Windows操作系统
"Intel SGX SDK Developer Reference for Windows OS.pdf" ...通过理解Enclave的概念、SDK的使用以及Intel SGX提供的保护机制,开发者可以为他们的应用程序创建一个更为安全的执行环境,抵御各种潜在的安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值