Intel SGX1 指南

已于 2023-11-02 18:04:41 修改
阅读量447 收藏 1
点赞数
文章标签: 可信计算技术
于 2023-11-02 18:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43535595/article/details/134188228
版权

Intel SGX1 指南

目前主要负责一个使用Intel SGX技术的项目,我们知道Intel SGX是一个结构和设计都非常复杂的项目,SGX事实上是一系列技术的总称,由以下几个部分组成:

  • CPU/平台硬件特性:CPU全新的指令集(E开头指令集)、PRM(Processor Reserved Memory)中EPC(Enclave Page Cache)(你可以理解为CPU上有个小内存)、内存区域的微架构等新特征
  • SGX远程认证(SGX Remote Attestation):EPID、DCAP鉴证
  • SDK和各种软件:Intel sgxsdk

我的项目主要使用的是EPID远程认证方式,所以程序目前支持的是SGX1认证,同时使用Gramine框架开发enclave内具体应用程序。

机器装配

硬件选择

1、CPU选择:

EPID作为一种最老的认证方式,支持它的CPU型号有如下几种系列:

  • Intel Xeon E
  • Intel Xeon E3
  • Intel® Core™

当然,还有些不在这个系列里面的CPU也是支持EPID的(例如赛扬的一些产品),列举的这些只是日常用的比较多的。

2、主板选择

选用的BIOS厂商务必支持Intel SGX:

​ 前面提到SGX具有全新的硬件平台特性,你的程序要想ECALL、OCALL一些enclave内的方法,那么必须使用一些特殊的指令集里面的指令,作为底层BIOS其必须配合Intel SGX CPU带有适配的CPU微码*(Intel CPU出现漏洞时恢复TCB又是需要你升级BIOS,事实上是需要升级主板上ROM内的Microcode)*。

​ 只有当你的主板支持Intel SGX,你的主板上的CISC、RISC之类的处理器才能协同工作将你上层的汇编转换为特殊的CPU指令。目前基本上主流的主板厂商都支持开启(例如Supermicro),当然如果你足够厉害你可以自己画一个主板并自己build一个BIOS。

机器配置

对于机器的配置有如下几点要求:

1、打开SGX选项

​ 开机的时候进入BIOS界面,打开如下选项

##enable it
Software Guard Extension (SGX)

2、设置PRM大小为128MB

##Platforms vary
Enclave Memory Size

3、以UEFI启动

​ 如果你打开SGX选项的时候选用了software controlled,那么就以这个模式启动。

环境准备

​ 请安装Ubuntu 20.04或者22.04

1、enable SGX

​ 参见:https://github.com/intel/sgx-software-enable

2、升级内核

​ 升级内核到5.11及其以上,我的是5.15

3、申请远程认证SPID

​ 注意2024.09.29之后,Intel将完全移除DEV的SPID,2025.04.02讲彻底禁用EPID,R.I.P。

​ https://api.portal.trustedservices.intel.com/

至此所有的开发的环境准备完成,可以参阅Gramine官方文档开发程序。

使用测试&分析

测试情况

​ 在SGX1运行的enclave内构建了一个grpc服务,该服务可接收一个文件数据,通过该数据计算摘要,对每个请求的计算CPU的算力都会占满。

  • 一次发送1个请求,每个请求发送42MB的文件,计算504MB文件用时:1980.36s
  • 一次发送12个请求,每个请求发送42MB的文件,按到达顺序一个个处理,计算504MB文件总用时:2106.36s
  • 一次发送1个请求,每个请求发送8MB的文件,计算504MB文件总用时:1827s
  • 一次发送63个请求,每个请求发送8MB文件,按到达顺序一个个处理,计算504MB文件总用时:

所以同样处理504MB文件,大而多的内存会让enclave内处理效率显著下滑。

原因分析

  1. 内存限制:在SGX1中,Enclave Page Cache (EPC) 的大小被限制为128MB,所有的enclave都驻留在EPC(enclave page cache)中, 这是系统内一块被保护的物理内存区域,用来存放enclave和SGX数据结构。EPC布局由平台具体实现决定,如果CPU支持SGX架构并在加密保护的DRAM (dynamic random access memory)中实现EPC,那么它也支持BIOS保留一段叫PRM(processor reserved memory)的内存范围。BIOS通过配置一组范围寄存器分配PRM,具体的PRM和EPC布局和平台有关,并取决于BIOS设置

EPC

但是事实上由于要留给其他硬件等数据结构,测试机器使用fortanix的sgx-detect检测后128MB的PRM大概还有93MB用于业务enclave,如果处理大文件或多个请求,可能会导致EPC空间不足,进而触发频繁的EPC换页操作,降低处理效率。换页操作涉及将数据从EPC移出到正常的内存区域,并在需要时将其调回,这些操作都需要额外的时间。

  1. CPU资源占用:每个请求的计算会占满CPU算力。如果请求是顺序处理的,这可能会导致CPU资源在某些时刻成为瓶颈,尤其是在处理多个请求的情况下。

小结

​ SGX1环境下不适合运行占内存较多的程序,运行大内存的时候将会有较大的内存换页成本,这是SGX1的一个问题,所以使用SGX1的时候尽量避免这种情况发生。

参考文献

1.Gramine文档

2.SGX软件启动

3.SGX解释.第58页

若者いChiang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SGX-hardware:这是支持英特尔SGX的硬件的列表-Software Guard Extensions
05-03
SGX硬件列表 这是支持Intel SGX-Software Guard Extensions的硬件的列表。 桌面 CPU和主板BIOS必须支持SGXSGX默认情况下处于关闭状态,必须通过MSR.IA32_Feature_Control.SGX_Enable启用。 只有BIOS才能对IA32_Feature_Control进行更改。 2015年以来受产品变更通知影响的台式机CPU 使用数据库列出具有SGX功能的所有Intel CPU。 请谨慎使用以下2015 i7,i5和E3 CPU。 根据2015年10月1日发布的。只有列出的带有以下S-Spec编号的CPU才能执行SGX指令。 对于所有其他CPU,英特尔CPU数据库应该是正确的。 营销名称 处理器# 转换后S-Spec 英特尔:registered:酷睿 i7-6700K SR2L0 英特尔:registered:酷睿 i5-6400T SR2L1 英特尔:registered:
Intel SGX 软件包安装指南,非常适合 SGX 初学者
08-22
The installation of the Intel Software Guard Extensions (Intel SGX) software packages for Ubuntu OS or Red Hat Enterprise Linux begins with the installation of the proper Intel SGX Driver. After you ...
代码角度理解SGX的认证机制(三):远程认证
彡丶氵的博客
07-08 4551
SGX 远程证明 和EPID证明协议不同,SGX不允许信任各方充当EPID验证的角色。而是由intel提供一个全球在线验证机构叫做intel 认证服务 (IAS)。 EPID认证协议涉及两个intel控制的服务,和两个独立单元。两个intel控制的服务为一个QE和一个IAS,充当认证提供者和验证者。两个独立单元中,ISV认证enclave充当认证提供者,证明服务充当认证者。 The Quoting Enclave:提供远程认证的一个架构enclave,佳作Quotes。它被平台的attestat.
IntelSGX 技术小知识
最是书香能致远,腹有诗书气自华
03-26 7093
Intel SGX (Software Guard Extensions) 是一种针对特定应用程序的安全增强技术。它允许应用程序在处理机上创建受保护的执行环境,这个执行环境被称为“enclave”。这个 enclave 是一个被硬件隔离的内存区域,只有在安全条件下才可以访问。这个特性使得 SGX 成为一种强大的安全保护技术,它可以用于保护应用程序和数据不被恶意软件或攻击者所破坏或窃取。
Intel SGX技术详细解释(非常棒)
热门推荐
kouryoushine的博客
05-08 11万+
http://www.jos.org.cn/html/2018/9/5594.htm#b18 随着信息技术的迅速发展与广泛应用, 人类社会已经进入了一个崭新的互联网时代.一方面, 人们享受着互联网科技带来的便利; 另一方面, 由网络和信息系统构成的网络空间也面临着日益严峻的安全问题.信任是网络空间中安全交互的基础, 但随着软件复杂度和攻击水平的提高, 移动环境和云平台的安全对硬件和平台安全机制的...
Intel SGX 概述 --潦草笔记
最新发布
chi's blog
02-26 1366
SGXIntel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性。SGX全称Intel Software Guard Extensions,顾名思义,其是对因特尔体系(IA)的一个扩展,用于增强软件的安全性。SGXIntel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性。
Intel SGX入坑必读——《Intel SGX Explained》(个人翻译,持续更新中)
weixin_40893822的博客
03-06 7388
入坑Intel SGX之前先打好基础。
Intel 安全防护扩展 SGX 开发指南,非常适合 SDK 初学者或者入门者
08-14
Intel Software Guard Extensions (Intel SGX)1 2 offers hardware-based memory encryption that isolates specific application code and data in memory. Intel SGX allows user-level code to allocate private...
英特尔 SGX(Software Guard Extensions) 技术开发指南
11-07
Intel Software Guard Extensions(英特尔SGX)是一组用于增强应用程序代码和数据安全性的指令,开发者使用SGX技术可以把应用程序的安全操作封装在一个被称之为Enclave的容器内,保障用户关键代码和数据的机密性和...
SGX实现hello World
10-25
注意,SGX环境的调试可能需要特定的调试工具和步骤,如使用`sgxdbg`或遵循Intel SGX SDK的调试指南。 **模拟模式与硬件模式** 在`x64`和`Release`目录下,你可以找到不同模式的编译结果。`Simulation`目录下的版本...
幸运:运气证明基于英特尔SGX和IPFS的区块链
02-04
当前的实现使用模拟SGX实现,而没有SGX平台的任何安全保证。 帮助最终确定。制作指南该库具有以下系统依赖性: (已通过v6.10.0测试): 您可以从安装它, 或使用系统的软件包, 或。 下载, 然后解压缩软件包tar ...
小谈Intel SGX
小气球归来的博客
10-15 7614
Intel SGX简介 背景 为什么要Intel SGXIntel SGX的目标就是为了解决目前日益受关注的“远程计算的安全问题”。 以云环境为例子,云租户会将自己的产品部署在云平台中,但是云平台现在普遍认为是一个不可信的地方,因为可能会有云平台管理者、同一云主机其他租户的恶意攻击,也可能云平台本身存在漏洞,使得黑客轻易的攻击并拿到Ring0权限(就好比我租了房东的一间卧室,我害怕房东、其他租户、陌生人对我房间东张西望,甚至搞破坏。)。这种情况下,云租户就开始担心了。 与此同时,Intel SGX
Intel SGX Developer Reference 学习笔记(六)
TTTT的博客
03-21 1178
 在这之前,一直想学习关于SGX实操性的、应用相关的内容,我浏览了相关资料,总觉得跟不上那些作者的脚步,学到的都是些零零碎碎的知识,收获都不是很大,一边阅读还在一边质疑资料的可读性,所以我决定返朴归真,静下心来好好看一看官网的手册,并作一些笔记方便自己的日后学习。 手册下载地址: Intel® Software Guard Extensions (Intel® SGX) SDK for Linux* OS Intel® Software Guard Extensions SDK Sample Code
Intel SGX远程认证【SGX手册截图】
小气球归来的博客
07-22 2189
Intel_SGX_Developer_Reference_Linux_2.6_Open_Source》100页有本地认证的流程图。(懒得自己画了) 代码仓库:https://github.com/intel/linux-sgx/tree/master/SampleCode/RemoteAttestation
官方文档总结系列:Intel_SGX_Developer_Guide
shuizhongmose的专栏
04-13 600
英特尔® Software Guard Extensions(英特尔® SGX)开发人员指南提供了有关如何基于英特尔 SGX 技术开发强大的应用程序飞地的指南。 本指南不介绍英特尔 SGX 技术,也不是安全编码指南。 本指南假定您在评估了使用英特尔 SGX 进行开发的好处、成本和限制后,决定使用该技术,现在想学习如何正确使用它来开发可靠的应用程序 enclaves。 凭借您对英特尔® SGX 技术的了解(请参阅英特尔® 64 位和 IA-32 架构软件开发人员手册,第 3D 卷)以及在安全编码原则和实践方面
检测服务器或者PC是否支持IntelSGX的原理和方式
kouryoushine的博客
05-16 1万+
原理和规则 英特尔® Software Guard 扩展平台支持包括三个方面 BIOS是否支持 CPU是否支持 是否安装了PSW,平台软件包。 不支持的情况分为以下三种 CPU 不支持英特尔 SGX BIOS 不支持英特尔 SGX BIOS 和 CPU 支持英特尔 SGX,但 BIOS 明确禁用英特尔 SGX 支持sgx cpu型号列表 Intel® Core i7-6700K S...
【TEE】Intel SGX的不足和解决方案
qq_43543209的博客
01-22 545
基于硬件可信执行环境 技术的隐私计算阅读记录。
php内存设置,修改php运行内存大小的限制
weixin_32230811的博客
03-10 5356
在运行PHP程序中,有时会遇到“Fatal Error: Allowed memory size of xxxxxx bytes exhausted”的错误, 这个表示PHP脚本使用了过多的内存,并超出了系统对其设置的允许最大内存。解决这个问题,首先我们优化代码,减少内存的使用,在程序没有问题的情况下,我们通过下面的方法来增加PHP的内存限制(memory_limit)。查看php的内存限制值使用...
SGX Attestation
叶卡捷琳堡的博客
12-04 291
同一平台上有两个飞地,称为飞地A和飞地B。我们假设它们已经在彼此之间建立了通信路径,并且该路径不需要信任。W.l.o.g我们假设B要求A证明它与B在同一平台上运行。首先,B检索其MRENCLAVE值,并通过不可信通道将其发送给A。A使用EREPORT指令,使用B的MRENCLAVE为B生成报告。然后A将该报告发送回B。A还可以在报告中包括Diffie-Hellman密钥交换数据,作为未来创建可信通道的用户数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值