Intel SGX开发者参考书(五)—— Intel SGX SDK示例代码(一)

最新推荐文章于 2024-05-26 09:46:09 发布
最新推荐文章于 2024-05-26 09:46:09 发布
阅读量3.2k 收藏 14
点赞数 3
分类专栏: sgx 文章标签: sgx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41598390/article/details/105652605
版权

@Intel SGX 读书笔记…

Intel SGX SDK示例代码

安装Intel SGX SDK后,你可以在[Intel SGX SDK Install Path]src下找到示例代码。
你可以在VS2017中打开示例项目:

  • SampleEnclave项目展示了如何创建Enclave
  • PowerTransition项目展示了如何处理Intel SGX项目的power transition
  • Cxx11SGXDemo项目展示了如何在Enclave中使用c++ 11库
  • LocalAttestation项目演示了如何使用Intel Wlliptical Curve Diffie-Hellman密钥交换库在运行在同一平台上的两个Enclave之间建立可信通道
  • RemoteAttestation项目演示了如何在远程认证过程中使用Intel远程认证和密钥交换库
  • SealedData项目展示了如何使用api来加密和完整性保护Enclave机密,并将它们存储在磁盘上
  • Sgx2Enclave项目展示了如何创建一个Intel SGX2 Enclave并使用sgx_tedmm库。

Sample Enclave

SampleEnclave项目向您展示了如何从头开始编写enclave。本主题演示了enclave特性的以下基本方面:

  • 初始化和销毁一个Enclave
  • 创建ECALLs和OCALLs
  • 在Enclave内调用可信库

注意:如果示例项目位于系统目录中,则需要管理员特权才能打开它。如果无法授予管理员权限,可以将项目文件夹复制到你的其他目录中。

配置并启用Intel SGX
一些OEM系统通过SW控制接口支持在BIOS中配置和启用Intel SGX。Intel SGX PSW公开了所有应用程序在创建应用程序之前都应该调用的API。API sgx_enable_device配置并启用Intel SGX设备(如果平台之前没有启用)。如果BIOS配置了Intel SGX作为调用的结果,那么BIOS配置需要重新启动才能生效(Intel SGX要在重新启动之后才能使用)。请参考示例应用程序中query_sgx_status函数以使用此API。有关其他详细信息,请参见sgx_enable_device。

初始化一个Enclave
在应用程序和Enclave之间建立任何可信的事务之前,需要通过uRTS提供的sgx_create_enclave来正确地创建和初始化Enclave本身

保存和检索启动令牌
启动令牌需要传递给sgx_create_enclave进行Enclave初试化。如果启动令牌是在前一个事务中保存地,则可以直接检索和使用它。否则,你可以提供一个全0缓冲区。如果输入无效,则sgx_create_enclave将尝试创建有效地启动令牌。正确创建并初始化Enclave之后,如果令牌已被更新,你可能需要保存令牌。sgx_create_enclave地第四个参数表示是否执行了更新。

sgx_create_enclave(ENCLAVE_FILENAME, SGX_DEBUG_FLAG, &token, &updated, &global_eid, NULL);

启动令牌应该保存在每个用户的目录或注册表项中,以防在多用户环境中使用。
例如,令牌可以保存在以下任何一个位置:

ECALL/OCALL函数
这个示例演示了ECALL/OCALL函数使用的基本EDL语法,以及在Enclave中使用受信任的库。

销毁一个Enclave
要释放Enclave内存,需要调用sgx_destroy_enclave,它是由sgx_urts库提供的。它将回收EPC内存和Enclave示例使用的不可信资源。

Power Transition

如果发生了power transition,Enclave内存将被删除,并且所有Enclave数据都将不可访问。因此,当系统恢复时,进程内的每个ECALLs和后续的ECALL都将失败,错误代码SGX_ERROR_ENCLAVE_LOST表示Enclave由于power transition而丢失。
Intel SGX项目应具有处理可能影响其行为的power transition的能力。该项目名为PowerTrasition ,描述了一种开发Intel SGX项目的方法,该项目可以处理电源转换。有关更多信息,请参见ECALL-ERROR_Code Based Retry。
PowerTransition 演示了以下场景:一个Enclave示例由一个主线程创建并初始化,然后与其他三个子线程共享;三个子线程重复调用Enclave,在Enclave内操作秘密数据,并在Enclave外备份相应的加密数据;在所有子线程完成之后,主线程销毁Enclave并释放相关的系统资源。如果发生电源转换,一个且仅有一个线程将重新加载Enclave,并使用保存在外部的加密数据恢复Enclave中的秘密数据,然后继续执行。

基于ECALL-Error-Code重试
在Power Transition之后,将为当前ECALL返回一个Intel SGX错误代码SGX_ERROR_ENCLAVE_LOST。为了处理power transition并在不影响的情况下继续项目,你需要首先销毁无效的Enclave以释放资源,然后使用新创建和初始化的Enclave示例重试,如下图所示。
Power Transition处理流程图
示例中的ECALLs
PowerTransition演示了两种类型的ECALLs中处理power transition:

  1. 创建Enclave后初始化ECALL
  2. 在Enclave内操作秘密

Enclave创建后初始化ECALL
PowerTransition演示了Enclave创建后的一个初始化ECALL,如下图所示:
创建Enclave后的Enclave初始化ECALL流程图
sgx_create_enclave是uRTS库为Enclave创建提供的一个关键API。对于sgx_create_enclave,uRTS库中已经实现了一种Power Transition处理机制。因此,不需要手动处理此API的power transition。

注意:为了集中精力处理power transition,PowerTransition假定Enclave文件和启动令牌与应用程序位于相同的目录中。有关如何正确存储启动令牌,请参见Sample Enclave。(在前面)

Enclave中正常ECALL处理机密
这是Enclave中最常见的ECALL类型。PowerTransiton演示了在主线程创建并初始化Enclave之后,在子线程中对此类ECALL的power transition处理,如下图所示。因此Enclave实例是由子线程共享的,所以需要确保一个且仅有一个子线程在power transition之后重新创建和初始化Enclave实例,而其他线程则直接使用重新创建的Enclave实例。PowerTransition通过检查Enclave ID是否更新来确认这一点。
常规ECALL流程图

注意:在ECALL过程中,建议经常将机密数据作为密码文本被分到Enclave之外。然后我们可以使用备份数据来恢复Enclave,以减少power transition带来的影响。

C++11 Demo

Cxx11SGXDemo项目旨在演示由Intel SGX SDK提供的Enclave内支持的C++11库特性,以及VS2017编译器支持的编译特性。这个示例为当前支持的C++11特性中的每个特性提供了实际的用例。
该示例涵盖了下表中列出的Enclave中的C++11特性的一个子集。

Headers#include <typeinfo>
#include <functional>
#include <algorithm>
#include <unordered_set>
#include <unordered_map>
#include <initializer_list>
#include <tuple>
#include <memory>
#include <atomic>
#include <mutex>
#include <condition_variable>
#include <map>
Classesstd::function, std::all_of, std::any_of, std::none_of,
std::initializer_list, std::unordered_set,
std::unordered_map, std::unordered_multiset,
std::unordered_multimap, std::tuple,
std::shared_ptr, std::unique_ptr, std::auto std::mutex,
std::condition_variable
Compiler features(编译器特性)lambda表达式,auto, decltype, 强类型枚举类, 基于范围的语句, static_assert,新的虚函数控件, 委托构造函数,可变参数模板, 替换失败不是一个错误(SFINAE), rvalue引用和移动语义,nullptr类型

如有误,请指正!感激!

Honglalala
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
百度基于 Intel SGX 的机密计算 SDK代码和文档
07-21
Teaclave 为隐私数据计算赋能,让安全计算更简单。Teaclave 基于硬件安全能力(Intel SGX),确保敏感数据在可信域外和离岸场景下安全可控...项目中还提供完善的接口,客户端 SDK 以及命令行工具帮助开发者使用平台功能
Intel_SGX_SDK for Windows v2.4.100.51291.rar
12-08
旧版本的Intel SGX SDK欢迎下载 Use the SDK to create software solutions that leverage additional protection from platforms with Intel® Software Guard Extensions (Intel® SGX). The kit includes these ...
SGX程序员开发手册
hanqdi_的博客
11-24 787
本篇文章翻译自 Intel® Software Guard Extensions (Intel® SGX) Developer Guide。
Intel SGX Developer Reference 学习笔记(六)
TTTT的博客
03-21 1178
 在这之前,一直想学习关于SGX实操性的、应用相关的内容,我浏览了相关资料,总觉得跟不上那些作者的脚步,学到的都是些零零碎碎的知识,收获都不是很大,一边阅读还在一边质疑资料的可读性,所以我决定返朴归真,静下心来好好看一看官网的手册,并作一些笔记方便自己的日后学习。 手册下载地址: Intel® Software Guard Extensions (Intel® SGX) SDK for Linux* OS Intel® Software Guard Extensions SDK Sample Code
推荐开源项目:Intel(R) SGX 数据中心认证原语库
最新发布
gitblog_00007的博客
05-26 404
推荐开源项目:Intel(R) SGX 数据中心认证原语库 项目地址:https://gitcode.com/intel/SGXDataCenterAttestationPrimitives 1、项目介绍 Intel(R) Software Guard Extensions Data Center Attestation Primitives(简称Intel(R) SGX DCAP)是一个专为数据...
windows10 SGX开发环境搭建及简单应用的开发
Stubborn_Lanmail的博客
06-19 2067
实验环境: windows 10系统,Visual Studio 2017 SGX开发环境: 1. Intel ME下载及安装:Intel ME下载地址
SGX Attestation
叶卡捷琳堡的博客
12-04 291
同一平台上有两个飞地,称为飞地A和飞地B。我们假设它们已经在彼此之间建立了通信路径,并且该路径不需要信任。W.l.o.g我们假设B要求A证明它与B在同一平台上运行。首先,B检索其MRENCLAVE值,并通过不可信通道将其发送给A。A使用EREPORT指令,使用B的MRENCLAVE为B生成报告。然后A将该报告发送回B。A还可以在报告中包括Diffie-Hellman密钥交换数据,作为未来创建可信通道的用户数据。
Windows10下使用Intel SGX功能(一):环境搭建
shuizhongmose的专栏
02-24 4625
Windows 10 下测试 Intel SGX功能。
Intel SGX 功能如何开启
热门推荐
09-03 1万+
我本身是 Windows10 系统, BIOS 是 ASUS 的,在想装 Ubuntu 双系统的时候,在启动 Ubuntu 安装 ISO 的时候提示说电脑的 SGX 没有开启,安装失败,安装界面都没有进去。 之后搜了下如何开启 SGX,说是大主板的 BIOS 中打开,我打开主板也没看到相应的选项,只有 Disable 和 Software Control ,意思是软控制,就是说需要从 Windows 中软件开始对应的功能。 Google 搜索之后才找到 Windows 对应的软件,这个软件只有一个功能,就是
Intel SGX SDK &PSW 2.4
01-31
Intel SGX SDK (Software Development Kit) 提供了开发者需要的库、头文件、示例代码和工具,以创建和管理称为“Enclaves”的安全区域。这些Enclaves是内存中的受保护区域,它们在硬件级别被隔离,即使系统其他部分...
Intel SGX SDK for Windows v2.11.exe
12-08
旧版本的Intel sgx sdk包,欢迎下载 Use the SDK to create software solutions that leverage additional protection from platforms with Intel® Software Guard Extensions (Intel® SGX). The kit includes ...
Intel SGX SDK for Windows v2.0.101.44299
07-24
SGX全称Intel Software Guard Extensions,顾名思义,其是对因特尔体系(IA)的一个扩展,用于增强软件的安全性。这种方式并不是识别和隔离平台上的所有恶意软件,而是将合法软件的安全操作封装在一个enclave中,保护其不受恶意软件的攻击,特权或者非特权的软件都无法访问enclave,也就是说,一旦软件和数据位于enclave中,即便操作系统或者和VMM(Hypervisor)也无法影响enclave里面的代码和数据。Enclave的安全边界只包含CPU和它自身。SGX创建的enclave也可以理解为一个可信执行环境TEE(Trusted Execution Environment)。不过其与ARM TrustZone(TZ)还是有一点小区别的,TZ中通过CPU划分为两个隔离环境(安全世界和正常世界),两者之间通过SMC指令通信;而SGX中一个CPU可以运行多个安全enclaves,并发执行亦可。当然,在TZ的安全世界内部实现多个相互隔离的安全服务亦可达到同样的效果。
tiny_intel_sgx_example:小巧的英特尔SGX示例
04-10
微型Intel SGX示例 这个超级骗子最小的英特尔SGX示例基于Linux信息库的英特尔SGX示例代码。 不要指望该存储库中的代码是安全的,这只是实验性的! 发生什么事了? 该应用程序初始化一个安全区。 该应用程序执行安全区调用,以安全地计算安全区内的前十个斐波那契数。 该应用程序破坏了飞地。 该应用程序将计算出的斐波那契数打印到标准输出中。 是的,这是毫无意义的:D 如何建立/执行? 本节来自英特尔SGX for Linux存储库 。 安装用于Linux * OS的英特尔(R)SGX SDK 确保您的环境已设置: $ source ${sgx-sdk-install-path}/environment 使用准备好的Makefile生成项目: 硬件模式,调试版本: 飞地无缓和: $ make 包含缓解间接和仅退回的内容: $ make MITIGATION
SGX样本代码
02-20
样本代码 这用于示例代码,包括文件(SGX库)。 使用github的sourcegraph扩展应用程序,您可以遵循引用或定义的代码
sgx-emulator:英特尔SGX扩展的仿真器和SDK
02-05
本文将深入探讨"sgx-emulator"项目,这是一个专为英特尔Software Guard Extensions (SGX) 技术设计的仿真器和SDKSGX是英特尔处理器中的一项硬件安全特性,它允许开发者创建受保护的内存区域,称为“安全 Enclaves...
SGX SDK手册学习(1)
qq_41800197的博客
03-03 1344
技术简介 Intel提供Intel(R)软件保护扩展(Intel(R)SGXSDK希望加强其应用程序的软件开发人员参考-使用Intel软件保护扩展技术的安全性。本文档概述了技术、教程、工具、示例代码以及API引用。Intel(R)Software Guard Extensions SDK是一组API,示例代码、库和工具,使软件开发人员能够在C/C++中编写和调试英特尔(R)软件保护扩展应用程序...
Intel SGX开发者参考书(三)—— 使用Intel SGX SDK工具(一)
Honglalala
04-15 2131
@Intel SGX 读书笔记… 使用Intel SGX SDK工具 Intel SGX SDK提供以下工具: Edger8r Tool:生成不可信组件和Enclaves之间的接口。 Enclave签名工具:生成包含Enclave签名的Enclave元数据,并将此类元数据添加到Enclave image。 Enclave 调试器:帮助调试Enclave。 Enclave内存检测工具:在Encla...
通俗理解SGX attestation
ChainingBlocks
02-18 3962
英特尔CPU从第六代酷睿开始增加了SGX特性,含有Intel Xeon版服务器级的CPU也包含了,比如Intel Xeon E3 v6。它是Software Gaurd Extensions的缩写,目的是从硬件实现信息安全。简单来讲就是英特尔通过硬件来实现一个安全的沙盒。这里一个电脑可以分为安全的沙盒和不安全的沙盒外部环境。沙盒外面的环境被认为是有可能被黑客或者恶意者完全操控的,是不安全的。沙盒外...
Intel SGX Application
M021的专栏
04-29 3709
SGX的概念提出到支持SGX的硬件问世的这段时间,有一些基于SGX的应用,但是很少。只有微软的Haven(USENIX 2014)、VC3(SP 2015)。但是,2016年有大量基于SGX的安全文章,SGX的安全研究比较热门。
intel sgx sdk windows
08-01
Intel SGX SDK(Software Development Kit)是英特尔为了方便开发者在Windows平台上使用英特尔的SGX(Software Guard Extensions)技术而提供的软件开发工具包。 IntelSGX技术是一种硬件级别的安全扩展,旨在保护应用程序的关键数据和代码不受物理攻击、操作系统或其他应用程序的恶意篡改。SGX技术通过创建受保护的“隔离容器(Enclaves)”来实现应用程序的安全保护,隔离容器中的数据不受操作系统以及其他应用程序的访问,只能由应用程序自身控制和操作。 使用Intel SGX SDK开发者可以利用SGX技术来保护敏感数据和代码,确保应用程序的安全性和隐私性。SDK提供了丰富的开发工具和库,包括编译器、调试器、性能分析器、运行时库等,以帮助开发者进行SGX应用程序的开发和测试。 为了在Windows平台上使用SGX技术,开发者需要在Windows系统上安装SGX驱动和Intel SGX SDK。安装完毕后,开发者可以使用SDK提供的工具和库来创建、编译、调试和运行SGX应用程序。SDK还提供了示例代码和文档,帮助开发者快速上手和理解SGX技术的使用方法。 总之,Intel SGX SDK开发者在Windows平台上使用Intel SGX技术的重要工具,它提供了丰富的开发工具、库和文档,帮助开发者构建安全、可信的SGX应用程序,保护敏感数据和代码的安全和隐私。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值