Linux ubuntu20.04 安装使用 Intel sgx

已于 2023-12-29 14:14:43 修改
阅读量1.7k 收藏 26
点赞数 22
分类专栏: 系统安全 文章标签: linux c语言 安全
于 2023-11-29 17:19:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45030965/article/details/134686162
版权

文章目录

前言

开发平台:

# lscpu
Model name:                         Intel(R) Core(TM) i3-9100 CPU @ 3.60GHz

操作系统版本:

# cat /etc/os-release
NAME="Ubuntu"
VERSION="20.04.4 LTS (Focal Fossa)"
# uname -r
5.15.0-89-generic

我这台处理器默认没有打开Intel sgx硬件功能,因此需要在BIOS中启动Intel sgx硬件功能。
启动后输出如下:

# cpuid | grep -i sgx
      SGX: Software Guard Extensions supported = true
      SGX_LC: SGX launch config supported      = false

	  ......
      SGX1 supported                         = true
      SGX2 supported                         = false

查看内核启动日志:

# dmesg | grep -i sgx
[    0.398363] sgx: EPC section 0x80200000-0x85f7ffff

或者使用github项目上查看是否支持SGX:https://github.com/ayeks/SGX-hardware/

输出如下:

SGX-hardware# ./test-sgx
Start test-sgx
......
Supports SGX
SGX Launch Configuration (SGX_LC): 0
SGX Attestation Services (SGX_KEYS): 0
SGX1 leaf instructions (SGX1): 1
SGX2 leaf instructions (SGX2): 0

以下内容参考
github:https://github.com/intel/linux-sgx
https://www.intel.com/content/www/us/en/developer/tools/software-guard-extensions/linux-overview.html
https://download.01.org/intel-sgx/latest/linux-latest/docs/Intel_SGX_SW_Installation_Guide_for_Linux.pdf

一、简介

Intel Software Guard Extensions (Intel SGX) 是一项由英特尔提供的技术,旨在保护应用程序开发人员选择的代码和数据免受泄露或修改。

Linux Intel SGX 软件栈由 IntelSGX 驱动程序、Intel SGX SDK 和 Intel SGX 平台软件 (PSW) 组成。

• Intel® SGX Software Development Kit (SDK): 这个SDK帮助软件开发人员创建使用Intel SGX技术的应用程序。它提供了一组工具、库和文档,使开发人员能够在应用程序中利用SGX的安全功能,包括创建和管理SGX enclaves(安全容器)、进行加密操作和进行远程验证等。

• Intel® SGX Platform Software (PSW) for Linux* OS: 这个软件提供了在Linux操作系统上运行Intel SGX应用程序所需的软件模块。它包括驱动程序、库和运行时组件,为SGX应用程序提供了必要的运行环境和安全保护机制。PSW负责管理SGX enclaves的创建、加载和执行,并提供与硬件的接口交互,以实现SGX的安全功能。

• Intel® SGX Data Center Attestation Primitives (DCAP) for Linux* OS: 这个软件提供了在数据中心环境中进行SGX应用程序验证的软件模块。DCAP为Intel应用程序提供了进行数据中心内的验证和信任建立所需的功能。它包括用于生成、验证和传输证明数据的API和工具,确保SGX enclaves的真实性和完整性,并帮助应用程序与远程系统进行安全交互。

这些软件组件共同构成了Intel SGX技术的开发和运行环境。SDK提供了开发SGX应用程序所需的工具和资源,PSW为应用程序提供了在Linux操作系统上运行的基础设施,而DCAP为数据中心内的SGX应用程序提供了验证和信任建立的支持。这些组件协同工作,使开发人员能够利用Intel SGX的安全功能来保护和保障应用程序的安全性。

1.1 SGXDataCenterAttestationPrimitives

SGXDataCenterAttestationPrimitives项目是为Linux Intel SGX软件栈维护的一个外部驱动程序。该驱动程序被用作临时解决方案,直到驱动程序被纳入官方Linux内核中。

•Intel® SGX Data Center Attestation Primitives (DCAP) for Linux OS: 这个软件提供了在数据中心环境中进行SGX应用程序验证的软件模块。DCAP为Intel应用程序提供了进行数据中心内的验证和信任建立所需的功能。它包括用于生成、验证和传输证明数据的API和工具,确保SGX enclaves的真实性和完整性,并帮助应用程序与远程系统进行安全交互。

SGXDataCenterAttestationPrimitives驱动程序专门针对支持Flexible Launch Control (FLC)和Intel AES New Instructions (AES-NI)的平台。FLC是一种安全特性,有助于保护SGX enclave启动过程的完整性,而AES-NI为加密操作提供了硬件加速。
该驱动程序为数据中心环境中的Intel SGX enclave提供了证明能力。它支持两种类型的证明:

(1)基于椭圆曲线数字签名算法(ECDSA)的证明:ECDSA是一种广泛使用的公钥密码算法。它允许生成和验证数字签名,用于证明SGX enclave的真实性和完整性。

(2)基于增强隐私识别(EPID)的证明:EPID是一种保护隐私的证明方案,允许远程方验证SGX enclave的完整性,同时不泄露被验证平台的身份。EPID-based的证明旨在提供强大的安全保证同时保持隐私。

SGXDataCenterAttestationPrimitives项目提供了在Linux SGX软件栈中支持这些证明机制所需的组件和功能。它使在支持SGX的平台上运行的应用程序能够建立信任,并与远程系统或服务进行安全交互。

1.2 linux-sgx-driver

linux-sgx-driver项目是Linux Intel SGX软件栈的另一个外部驱动程序,用于支持没有Flexible Launch Control (FLC)的平台上的增强隐私识别(EPID)基于证明,直到驱动程序上游过程完成为止。

这个驱动程序可以用于支持早期的 SGX-capable 的CPU,这些CPU没有Flexible Launch Control (FLC)功能。然而,请注意该驱动程序的ABI与上游的SGX内核补丁不同。因此,将使用该驱动程序的软件迁移到未来支持SGX的内核可能需要额外的工作量。

为了减少ABI的差异,并更好地与未来支持SGX的内核对齐,该驱动程序将不再添加新功能。这样做的目的是确保兼容性,并方便将来在内核版本中集成SGX支持时的平稳过渡。

对于那些不支持FLC的平台,linux-sgx-driver项目提供了所需的驱动程序功能,以支持EPID基于证明的功能。EPID是一种隐私保护的证明方案,允许远程方验证SGX enclave的完整性,同时不泄露被验证平台的身份。

这个驱动程序允许在不支持FLC的平台上进行SGX enclave的EPID证明。它提供了必要的组件和功能,使这些平台上的应用程序能够与远程系统或服务建立安全信任,并进行受保护的通信。

与SGXDataCenterAttestationPrimitives项目类似,linux-sgx-driver项目也是一个临时解决方案,直到驱动程序被合并到官方Linux内核中。这些驱动程序为使用Intel SGX技术的应用程序提供了在非FLC平台上进行EPID证明的能力。

1.3 Intel SGX Support in the Linux Kernel

自从 Linux 内核版本 5.11 发布以来,主线 Linux 内核已经内置了 Intel SGX 支持。内核内置的 Intel SGX 驱动程序需要平台支持并配置为灵活启动控制(flexible launch control - FLC)。尽可能使用带有 Intel SGX 支持的主线内核。

对于特殊用例,还有两个其他的内核空间选项可供选择:

(1)如果您的发行版内核版本早于 5.11 或不支持内核内置的 Intel SGX,您可以使用 Intel SGX DCAP 驱动程序作为临时解决方案,然后过渡到 5.11 或更高版本的内核。它提供了接近主线内核的接口,也需要平台支持并配置为 FLC。

(2)如果您需要在不支持 FLC 的平台上使用 Intel SGX,Intel SGX for Linux OS 驱动程序项目提供了一个非内核驱动程序(out-of-tree driver)。该驱动程序用于支持在仅支持传统启动控制的平台上运行 Intel SGX enclave。它也可以安装在配置了 FLC 的平台上,但这些平台只能加载符合传统启动控制策略的生产 enclave。

注意:尽管Intel SGX SDK和平台软件与所有这些驱动程序兼容,但传统的非FLC驱动程序和Intel SGX DCAP驱动程序仅针对关键的安全修复进行更新。由于 out-of-tree 实现的限制,主线内核中实现的新特性或功能无法移植到传统的非FLC驱动程序或Intel SGX DCAP驱动程序。

1.4 Platform Uses Legacy Launch

传统启动(Legacy Launch)是指在平台配置中,需要由Intel签名的启动信封提供一个启动令牌。平台(可以是虚拟机或裸机平台)是否需要传统启动取决于两个因素:
(1)平台硬件和配置:所有配置了Intel® SGX支持的平台都有能力支持传统启动;然而,只有支持Intel® SGX启动配置 – Launch Configuration(在CPUID[7].ECX[SGX_LC]中详细说明,其中SGX_LC位为第30位)并配置了Intel® SGX启动控制(在IA32_FEATURE_CONTROL MSR中的第17位指定,由BIOS配置)的平台才能在不使用传统启动的情况下运行。详细信息请参阅Intel®软件开发手册。

(2)Linux内核中的Intel® SGX支持:可以通过对内核打补丁或安装驱动程序来在Linux内核中支持Intel® SGX。此外,目前有两个支持的Intel® SGX驱动程序。因此,有三种选项来配置Intel® SGX启动平台:

内核驱动程序:内核已经打了补丁以支持Intel® SGX。这只能在能够支持Intel® SGX启动配置并启用了该功能的平台上运行。

DCAP驱动程序:DCAP驱动程序是Linux内核模式驱动程序,模拟了内核驱动程序的解决方案。与内核驱动程序类似,DCAP驱动程序只能在能够支持Intel® SGX启动配置并启用了该功能的平台上运行。

Out-of-Tree驱动程序:Out-of-Tree驱动程序的命名有些不准确,因为DCAP驱动程序也是提供的Out-of-Tree驱动程序;然而,该驱动程序可以在所有平台上运行,无论是否支持或启用了Intel® SGX启动配置。因此,它支持传统启动。它有一个接口,在初始化一个信封时需要提供一个启动令牌。有关Intel® SGX启动令牌的更多信息,请参阅Intel®软件开发手册。

二、 安装Intel SGX driver

2.1 Intel SGX driver简介

为了配置运行Intel SGX Enclaves的平台,了解Launch Control是非常重要的,它是控制和限制Intel SGX enclaves启动的方法。Launch Control为应用程序提供令牌,允许它们启动enclaves。Launch Control有两种特征配置方式:
(1)Flexible Launch Control:支持Intel SGX Launch Control的平台,包括虚拟机,可以通过内核模式驱动程序配置为特定的enclave签名者。在许多情况下,驱动程序会为每个加载的enclave动态重新配置launch control,使enclave无需有效的Launch Token即可运行(有关Launch Token的更多信息,请参阅Intel® 64和IA-32 Architectures Software Developer Manuals)。

(2)Legacy Launch Control:不支持Intel SGX Launch Control或未通过BIOS配置为Flexible Launch Control的平台仍然可以使用传统Launch Control加载enclave。在这种模式下,需要使用Intel签名的Launch Enclave为驱动程序提供Launch Token以加载enclave。此外,必须将enclave所有者的MRSIGNER(所有者公共签名密钥的哈希值)添加到Intel的Launch Policy List中,以在release模式下运行enclave(有关Legacy Launch Control和添加MRSIGNER到Launch Policy List的更多详细信息,请参阅Intel® SGX Request License页面)。

需要注意的是,Legacy Launch Control限制了哪些enclave可以在release模式下运行,但是它允许enclave在SGX debug模式下运行,而不管enclave所有者的MRSIGNER是否已添加到Launch Policy中。SGX debug模式允许开发和调试测试签名的debug enclaves。有关SGX debug模式enclave的更多信息,请参阅Intel® 64和IA-32 Architectures Software Developer Manuals

当使用Intel® SGX时,有三种不同的驱动程序可供选择:
(1)内核驱动程序(/dev/{sgx_enclave, sgx_provision}):主线内核版本5.11或更高版本包括SGX内核驱动程序。内核驱动程序要求平台支持并配置为Flexible Launch Control。

此驱动程序包含在主线内核版本5.11或更高版本中。
它要求平台支持并配置为Flexible Launch Control。
内核驱动程序是推荐的选择。
它与内核进行本地集成,并利用后续内核版本支持的新功能,如EDMM(Enclave Dynamic Memory Management)、SGX KVM、SGX cgroups和NUMA感知的EPC(Enclave Page Cache)分配。

(2)DCAP驱动程序(/dev/{sgx_enclave, sgx_provision}):DCAP驱动程序的目标是提供接口接近于内核驱动程序,以便为没有将Intel SGX驱动程序集成到内核中的Linux操作系统提供Intel SGX支持。该驱动程序也需要平台支持并配置为 Flexible Launch Control 。由于该驱动程序支持的是一个外部实现,它不包括后续内核版本支持的新功能,如EDMM、SGX KVM、SGX cgroups和NUMA感知EPC分配。该驱动程序仅针对必要的安全修复进行更新。在可能的情况下,应使用内核驱动程序。

DCAP(Data Center Attestation Primitives)驱动程序的目标是为没有在内核中集成Intel® SGX驱动程序的Linux操作系统提供类似的接口。
类似于内核驱动程序,它要求平台支持并配置为Flexible Launch Control。
然而,DCAP驱动程序是一个外部实现,可能不包含较新内核版本支持的最新功能。它主要用于必要的安全修复。
如果可用,建议使用内核驱动程序而不是DCAP驱动程序。

(3)非内核驱动程序(/dev/isgx):该驱动程序用于支持在仅支持Legacy Launch Control的平台上运行Intel® SGX enclaves。它也可以安装在配置为 Flexible Launch Control的平台上,但是这些平台只能加载符合Legacy Launch Control策略的enclave。

此驱动程序用于支持在仅支持Legacy Launch Control的平台上运行Intel® SGX enclaves。
它也可以安装在配置为Flexible Launch Control的平台上,但在这种情况下,这些平台只能加载符合Legacy Launch Control策略的enclave。
非内核驱动程序用于平台不具备原生Flexible Launch Control支持的情况。

需要根据平台的能力和配置选择适合的驱动程序。内核驱动程序是推荐且功能最丰富的选项,DCAP驱动程序可用于没有在内核中集成Intel® SGX驱动程序的系统。非内核驱动程序适用于仅支持Legacy Launch Control的平台。

Linux SGX driver为SGX环境运行必要驱动。

以下各节介绍了每个驱动器的选择和安装过程。

2.2 In-Kernel Driver Module Installation

内核内驱动程序是由5.11版本开始的Linux内核提供的。开发人员和平台所有者可以安装Linux发行版提供的5.11(或更高版本)内核二进制文件,或者按照中所述的步骤从源代码构建内核https://wiki.ubuntu.com/kernelteam/gitkernelbuild.SGX选项CONFIG_X86_SGX必须在makemenuconfig步骤中启用,否则无法构建SGX模块。其他SGX配置选项,如CONFIG_X86_SGX_KVM,可能会根据用户需要启用。内核的早期版本可以通过补丁进行调整。最新的英特尔SGX内核补丁可在https://patchwork.kernel.org/project/intel-sgx/list/.本文档不涉及修补和构建内核的过程。

查看我的Ubuntu20.04配置:

CONFIG_X86_SGX=y
CONFIG_X86_SGX_KVM=y

但是我的Intel处理器没有配置Launch Control:

# cpuid | grep -i sgx
      SGX: Software Guard Extensions supported = true
      SGX_LC: SGX launch config supported      = false

2.3 DCAP Driver Installation

DCAP驱动是推荐在Linux内核版本4.15到5.6之间(包括这两个版本)以及支持并配置了Flexible Launch Control的平台上使用的驱动程序。在使用SGX In-Kernel驱动程序的5.11或更高版本内核上安装DCAP驱动程序时,会出现构建错误消息:“无法安装带有内核内SGX支持的DCAP SGX驱动程序”。

这个错误消息表示在启用了SGX In-Kernel驱动程序的情况下,无法安装DCAP驱动程序。因此,在使用5.11或更高版本的内核时,您应该选择使用SGX In-Kernel驱动程序而不是DCAP驱动程序。

如果您的内核版本是5.11或更高版本,并且已启用了SGX In-Kernel驱动程序,那么您不需要安装DCAP驱动程序。您可以继续使用内核自带的SGX支持。

请注意,在使用SGX In-Kernel驱动程序的情况下,建议使用的内核版本是5.11或更高版本,并且在支持Flexible Launch Control的平台上进行配置。如果您的平台不支持Flexible Launch Control或未进行配置,则可能无法正常使用SGX功能。

由于我的Intel处理器没有配置Launch Control,这里不讨论其安装过程,其安装过程可以参考:
https://download.01.org/intel-sgx/latest/linux-latest/docs/Intel_SGX_SW_Installation_Guide_for_Linux.pdf

2.4 Out-of-Tree Driver Installation

对于不支持或未配置Flexible Launch Control的平台,建议使用Out-of-Tree驱动程序。不建议在启用了FLC的平台上安装传统的Out-of-Tree驱动程序。如果在运行Kernel 5.11或更高版本的FLC平台上安装传统的Out-of-Tree驱动程序,安装会成功,但是Intel SGX PSW仅使用内核内驱动程序。

虽然我这里的内核版本是5.15,内核主线已经Support for Intel SGX,但是我的Intel处理器没有配置Launch Control,接下来参考 the out-of-tree driver 进行驱动安装: linux-sgx-driver

git clone https://github.com/intel/linux-sgx-driver.git

make

Install the Intel® SGX Driver:

$ sudo mkdir -p "/lib/modules/"`uname -r`"/kernel/drivers/intel/sgx"    
$ sudo cp isgx.ko "/lib/modules/"`uname -r`"/kernel/drivers/intel/sgx"    
$ sudo sh -c "cat /etc/modules | grep -Fxq isgx || echo isgx >> /etc/modules"    
$ sudo /sbin/depmod
$ sudo /sbin/modprobe isgx

Uninstall the Intel® SGX Driver:
在卸载Intel(R)SGX驱动程序之前,请确保aesmd服务已停止。

$ sudo /sbin/modprobe -r isgx
$ sudo rm -rf "/lib/modules/"`uname -r`"/kernel/drivers/intel/sgx"
$ sudo /sbin/depmod
$ sudo /bin/sed -i '/^isgx$/d' /etc/modules

# ls -l /dev/isgx
crw-rw-rw- 1 root root 10, 121 1130 10:26 /dev/isgx

三、 Build the Intel SGX SDK and Inte SGX PSW Package

参考 linux-sgx

(1)使用以下命令安装构建 Intel SGX SDK 所需的工具:

$ sudo apt-get install build-essential ocaml ocamlbuild automake autoconf libtool wget python-is-python3 libssl-dev git cmake perl

(2)使用以下命令安装所需的其他工具和最新的Intel SGX SDK安装程序,以构建IntelSGX PSW:

$ sudo apt-get install libssl-dev libcurl4-openssl-dev protobuf-compiler libprotobuf-dev debhelper cmake reprepro unzip pkgconf libboost-dev libboost-system-dev libboost-thread-dev lsb-release libsystemd0

(3)下载源代码并准备子模块和预构建的二进制文件:

git clone https://github.com/intel/linux-sgx.git
cd linux-sgx && make preparation

上面的make准备将触发脚本download_prebuild.sh来下载预构建的二进制文件。

将与当前操作系统分发对应的 the mitigation tools 从external/toolset/{current_distr}复制到/usr/local/bin,并确保它们具有执行权限:

sudo cp external/toolset/{current_distr}/* /usr/local/bin

# ls external/toolset/
anolis8.6  centos8  centos8.3  debian10  rhel8.4  rhel8.6  sles15.4  ubuntu18.04  ubuntu20.04

对于我的系统即:

linux-sgx# sudo cp external/toolset/ubuntu20.04/* /usr/local/bin

linux-sgx# which ar as ld objcopy objdump ranlib
/usr/local/bin/ar
/usr/local/bin/as
/usr/local/bin/ld
/usr/local/bin/objcopy
/usr/local/bin/objdump
/usr/local/bin/ranlib

注意:即使您之前将以前的 mitigation tools 复制到/usr/local/bin,也必须执行上述操作。它确保在以后的构建中使用更新的 mitigation tools 。

四、 Build the Intel SGX SDK and Intel SGX SDK Installer

4.1 build Intel SGX SDK

要使用默认配置构建 Intel SGX SDK ,请输入以下命令:

make sdk
or
make sdk DEBUG=1  //(with debug information)

要构建 Intel® SGX SDK安装程序,请输入以下命令:

make sdk_install_pkg
or
make sdk_install_pkg DEBUG=1  //(with debug information kept in the tools and libraries)

可以在linux/installer/bin/下找到生成的 Intel SGX SDK 安装程序sgx_linux_x64_sdk_${version}.bin,其中${version}表示版本号。

4.2 Install the Intel SGX SDK

这步要先做,不让在构建Intel SGX PSW时会报错。
请参看:https://github.com/intel/linux-sgx/issues/466

Generated sdk installer: ./linux/installer/bin/sgx_linux_x64_sdk_2.22.100.3.bin

/linux-sgx/linux/installer/bin# ./sgx_linux_x64_sdk_2.22.100.3.bin

Do you want to install in current directory? [yes/no] : no

Please input the directory which you want to install in : /opt/intel/

......

Installation is successful! The SDK package can be found in /opt/intel/sgxsdk

Please set the environment variables with below command:

source /opt/intel/sgxsdk/environment

注意:在编译代码之前,需要设置所需的环境变量。要执行此操作,请运行:

source /opt/intel/sgxsdk/environment

步骤总结:

make sdk
make sdk_install_pkg
/sgx_linux_x64_sdk_2.22.100.3.bin //(选择安装在/opt/intel/目录下)
source /opt/intel/sgxsdk/environment

4.3 Test the Intel SGX SDK Package with the Code Samples

在安装Intel SGX PSW包之前,我们先用模拟模式测试SGX SDK包是否安装正常。
在模拟模式下编译并运行每个代码示例,以确保SGX SDK包运行良好:

$ cd ${sgx-sdk-install-path}/SampleCode/LocalAttestation
$ make SGX_MODE=SIM
The project has been built in simulation debug mode.

$ cd bin
$ ./app

/linux-sgx/SampleCode/LocalAttestation/bin# ./app
succeed to load enclaves.
succeed to establish secure channel.
Succeed to exchange secure message...
Succeed to close Session...

注意模拟模式下不需要SGX PSW包。

五、Build the Intel SGX PSW and Intel SGX PSW Installer

5.1 build Intel SGX PSW

要使用默认配置构建Intel SGX PSW,请输入以下命令:

linux-sgx# make psw
or
make psw DEBUG=1 (with debug information)

可以在build/linux目录中找到生成的工具和库。注意:也可以转到psw文件夹,并使用make命令仅构建IntelSGX psw组件。

要构建 Intel SGX PSW 安装程序,请输入以下命令:

$ make deb_psw_pkg
......
scripts/
scripts/install.sh
scripts/installConfig
Generated psw installer: ./linux/installer/bin/sgx_linux_x64_psw_2.22.100.3.bin

sgx_linux_x64_psw_2.22.100.3.bin就是pws安装器二进制文件。

可以在下面找到生成的相应 Intel SGX PSW 安装程序:

linux/installer/deb/libsgx-urts, linux/installer/deb/libsgx-enclave-common, linux/installer/deb/libsgx-uae-service, linux/installer/deb/libsgx-epid, linux/installer/deb/libsgx-launch, linux/installer/deb/libsgx-quote-ex and linux/installer/deb/sgx-aesm-service

运行psw安装器:

linux-sgx# cd linux/installer/bin
linux-sgx/linux/installer/bin# ls

build-installpkg.sh  install-sgx-psw.bin.tmpl  install-sgx-sdk.bin.tmpl  sgx_linux_x64_psw_2.22.100.3.bin  sgx_linux_x64_sdk_2.22.100.3.bin
linux-sgx/linux/installer/bin# ./sgx_linux_x64_psw_2.22.100.3.bin

要自行构建这些飞地(无需签名),首先需要从Intel(R)SGX SDK安装最新的 Intel SGX SDK ,然后使用默认配置构建PSW。之后,您可以使用相应文件夹中的make命令来构建每个Architecture Enclave:

 $ cd psw/ae/le
 $ make

5.2 Install the Intel SGX PSW

SGX PSW提供3项服务:启动、基于EPID的认证和算法无关认证。从2.8版本开始,SGX PSW被拆分为更小的软件包,用户可以选择安装哪些功能和服务。

/linux-sgx# apt-get install libsgx-launch libsgx-urts
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Unable to locate package libsgx-launch
E: Unable to locate package libsgx-urts

出现以上问题。

有两种方法可以安装所需的软件包:使用单个软件包或使用构建系统生成的本地repo。建议使用本地repo,因为系统将自动解决依赖关系。目前,我们支持基于.deb和.rpm的repos。

5.2.1 build local Debian package repository

建议使用本地repo,因为系统将自动解决依赖关系。

要构建本地Debian包存储库,请输入以下命令:

make deb_local_repo

可以在linux/installer/deb/sgx_debian_local_repo下找到本地包存储库。

注意:以上命令构建本地包存储库。如果要使用它,则需要将其添加到系统存储库配置中。本地包存储库未签名,出于开发目的,您需要信任它。

要将本地Debian包存储库添加到系统存储库配置中,请将以下行附加到/etc/apt/sources.list。需要将PATH_To_local_REPO替换为系统上的正确路径:

deb [trusted=yes arch=amd64] file:/PATH_TO_LOCAL_REPO focal main

PATH_TO_LOCAL_REPO 即 linux/installer/deb/sgx_debian_local_repo的路径。

之后,需要更新apt:

sudo apt update

Using the local repo(recommended):
(1)launch service

apt-get install libsgx-launch libsgx-urts

(2)EPID-based attestation service

apt-get install libsgx-epid libsgx-urts

(3)algorithm agnostic attestation service

apt-get install libsgx-quote-ex libsgx-urts

(4)DCAP ECDSA-based service

apt-get install libsgx-dcap-ql

5.2.2 Add Source Download

跟上面的步骤一样,只不过使用的是以及编译好的sgx_repo包:https://download.01.org/intel-sgx/sgx_repo/ubuntu/

在安装前,首先执行以下三条命令:

# 将以下库添加到源中
echo 'deb [arch=amd64] https://download.01.org/intel-sgx/sgx_repo/ubuntu focal main' | sudo tee /etc/apt/sources.list.d/intel-sgx.list
# 获取 Debian 存储库公钥并将其添加到 apt 用于验证软件包的受信任密钥列表中
wget -qO - https://download.01.org/intel-sgx/sgx_repo/ubuntu/intel-sgx-deb.key | sudo apt-key add
# 更新apt
sudo apt-get update

(1)launch service

apt-get install libsgx-launch libsgx-urts

(2)EPID-based attestation service

apt-get install libsgx-epid libsgx-urts

(3)algorithm agnostic attestation service

apt-get install libsgx-quote-ex libsgx-urts

(4)DCAP ECDSA-based service

apt-get install libsgx-dcap-ql

5.3 Compile and Run the Code Samples in the Hardware Mode

如果使用启用英特尔SGX硬件的机器,则可以在硬件模式下运行代码示例。请确保在计算机上安装 Intel SGX driver 和 Intel SGX PSW installer 。

在硬件模式下编译并运行每个代码示例,调试构建,如下所示:

linux-sgx/SampleCode/LocalAttestation# make
......
The project has been built in hardware debug mode.

linux-sgx/SampleCode/LocalAttestation# cd bin/
linux-sgx/SampleCode/LocalAttestation/bin# ./app
succeed to load enclaves.
succeed to establish secure channel.
Succeed to exchange secure message...
Succeed to close Session...

六、Start or Stop aesmd Service

Intel® SGX PSW安装程序会在您的计算机上安装一个名为aesmd的服务,该服务在一个特殊的Linux账户aesmd中运行。
要停止该服务:

$ sudo service aesmd stop

要启动该服务:

$ sudo service aesmd start

要重新启动该服务:

$ sudo service aesmd restart

参考资料

https://blog.csdn.net/cacique111/article/details/133246169
https://blog.csdn.net/shuizhongmose/article/details/131290471
https://blog.csdn.net/weixin_43292691/article/details/119917066
https://blog.csdn.net/qq_42557044/article/details/127259835
https://blog.csdn.net/hhh078/article/details/132273182

小立爱学习
关注
  • 22
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
linux-sgx-driver:英特尔SGX Linux *驱动程序
05-14
Linux *操作系统的英特尔(R)软件保护扩展 linux-sgx驱动程序 介绍 英特尔:registered:软件保护扩展(英特尔:registered:SGX)是面向寻求保护选定代码和数据免于泄露或修改的应用程序开发人员的英特尔技术。 Linux SGX软件堆栈由Intel(R)SGX驱动程序,Intel(R)SGX SDK和Intel(R)SGX平台软件组成。 英特尔SGX SDK和英特尔SGX PSW托管在项目中。 项目托管Linux Intel(R)SGX软件堆栈的树外驱动程序,该驱动程序将一直使用到驱动程序上游过程完成为止。 重要的: 此驱动程序可用于支持不具有灵活启动控制(FLC)的,具有SGX较早功能的CPU。 但是,请注意,此驱动程序的ABI与上游SGX内核补丁有所不同,可能需要付出额外的努力才能将使用此驱动程序的软件迁移到支持SGX的将来的内核。 为了使ABI差异最小化并使所有SGX软件堆栈与将来启用SG
ubuntu20.04安装QT.pdf
12-11
ubuntu20.04安装QT 一、 安装cmake 二、 安装gcc和g++ 三、 下载QT 四、 安装QT 五、 故障解决
Ubuntu20.04配置Intel SGX
cacique111的博客
09-24 828
Ubuntu20.04配置Intel SGX
SGX系列教程】(二)第一个 SGX 程序: HelloWorld,linux下运行
最新发布
tutu_hu的博客
06-27 919
第一个SGX程序,HelloWorld,在ubuntu22.04中构建,编译,调试全流程,带你入门Intel SGX!
Ubuntu 20.04安装Intel sgx
weixin_43292691的博客
08-26 4172
Ubuntu 20.04安装Intel sgx 安装sgx drive 准备工作 检查是否安装了匹配的内核头文件 dpkg-query -s linux-headers-$(uname -r) 安装匹配的内核头文件 sudo apt-get install linux-headers-$(uname -r) 生成驱动模块 /linux-sgx-driver-master# make 安装驱动 sudo mkdir -p "/lib/modules/"`uname -r`"/kernel/dr
linux下移植AM335的sgx驱动
zzf277478264的专栏
02-17 1909
准备工作 1.uboot 、内核、文件系统、编译器,开发板都已经提供,测试可以运行。 2.在TI官网下载Graphics_SDK_setuplinux_4_10_00_01.bin 开始移植 移植步骤在ti官网有详细说明,步骤如下: 1../Graphics_SDK_setuplinux_4_10_00_01.bin 会出现图形安装界面,选择es8.x(For AM335x). 2.
Ubuntu20.04安装Qemu-SGX
小气球归来的博客
06-19 1696
基本参考Here. 安装kvm-sgx 安装kvm-sgx,也就是安装包含了支持SGX特性的KVM的内核。 但内核编译过程中会遇到关于debian/canonical-certs.pem的错误,对此可以参考Here创建一对密钥,并将公钥注册到机器上。 安装qemu-sgx 安装qemu-sgx前,为了支持usb-redir,需要安装一些apt包sudo apt-get install libusb-dev libusbredirparser-dev和pip包sudo pip3 install meson n
Ubuntu20.04安装Mininet和Ryu.pdf
12-19
本文档介绍了在Ubuntu20.04系统中安装Mininet和Ryu的步骤,并提供了使用Mininet进行网络拓扑生成的实验指导。 Mininet的安装Ubuntu20.04系统中,安装Mininet可以使用以下命令: ``` sudo apt-get install ...
ubuntu20.04 安装gcc -5 所需所有包.7z
05-15
Ubuntu 20.04安装GCC 5是一个对系统环境进行自定义配置的过程,因为默认情况下,Ubuntu 20.04已经预装了GCC 9或更高版本。GCC(GNU Compiler Collection)是GNU项目的一部分,它是一个用于各种编程语言的开源...
Ubuntu 20.04详细的安装教程.docx
04-11
### Ubuntu 20.04 详细安装教程知识点解析 #### 一、Ubuntu 20.04 简介...通过以上详尽的指南,初学者能够顺利完成安装并开始使用 Ubuntu 20.04。如有疑问,务必查阅官方文档或求助于社区,以获得及时有效的解决方案。
Ubuntu20.04 安装r81252.5G网卡步骤-华硕Z690p主板驱动 两种方式
09-09
Ubuntu 20.04操作系统中安装特定硬件,如2.5G网卡,有时可能会遇到挑战,尤其是像华硕Z690p主板上配备的R8125 2.5千兆网卡这样的新型硬件。在这种情况下,由于内建驱动可能不支持最新硬件,用户需要手动安装相应的...
SGX-hardware:这是支持英特尔SGX的硬件的列表-Software Guard Extensions
05-03
SGX硬件列表 这是支持Intel SGX-Software Guard Extensions的硬件的列表。 桌面 CPU和主板BIOS必须支持SGXSGX默认情况下处于关闭状态,必须通过MSR.IA32_Feature_Control.SGX_Enable启用。 只有BIOS才能对IA32_Feature_Control进行更改。 2015年以来受产品变更通知影响的台式机CPU 使用数据库列出具有SGX功能的所有Intel CPU。 请谨慎使用以下2015 i7,i5和E3 CPU。 根据2015年10月1日发布的。只有列出的带有以下S-Spec编号的CPU才能执行SGX指令。 对于所有其他CPU,英特尔CPU数据库应该是正确的。 营销名称 处理器# 转换后S-Spec 英特尔:registered:酷睿 i7-6700K SR2L0 英特尔:registered:酷睿 i5-6400T SR2L1 英特尔:registered:
sgx官方文档
07-28
sgxintel开发的新一代可信执行环境的硬软件套件。不仅提供了硬件环境,包括cpu指令,enclave内存环境。还提供了配套的c语言库以及其他依赖库。
Intel SGX安装指南(Ubuntu20.04
hhh078的博客
08-14 1452
Intel Software Guard Extensions(Intel SGX)是Intel对于可信执行环境(TEE)的一种实现,是一套基于硬件底层的安全技术。Intel SGX的诞生较早,且在近年来持续更新,体量庞杂,依赖多,有较多历史遗留问题。Intel最新使用Trust Domain Extensions(TDX)技术替代了SGX,然而由于其诞生之初,配套的框架、支持以及文档较少,因此较难使用
SGX系列教程】(一)Intel-SGX SDK在ubuntu22.04下安装全流程
tutu_hu的博客
01-23 3012
Intel-SGX SDK在ubuntu22.04下安装教程,从驱动到SDK到PSW,再到demo源码分析,一站式学习Intel SGX
Linux 编写SGX Hello_World
P_Bloomberg的博客
08-07 1226
实验环境 Ubuntu18.04 SGX环境配置 建议先在Windows Vs2017中创建SGX项目编译,再迁移到Linux中。 项目结构 >>> tree . ├── App │ └── App.cpp ├── Enclave │ ├── Enclave.config.xml │ ├── Enclave.cpp │ ├── Enclave.edl │ ├── Enclave.lds │ └── Enclave_private_test.pem └── Makef
Ubuntu20.04+Intel SGX(一):环境安装与测试
shuizhongmose的专栏
06-19 4296
ubuntu20.04上配置SGX环境
Ubuntu安装SGX
P_Bloomberg的博客
08-07 3259
一、前言 Intel SGXIntel架构新的扩展, 在原有架构上增加了一组新的指令集和内存访问机制处理器,需要Intel 6代处理器及以上才支持。 二、环境准备 1、安装依赖 参考:https://github.com/intel/linux-sgx 使用以下命令安装构建SGX 驱动程序所需的工具: sudo apt install dkms 使用以下命令安装构建SGX SDK所需的工具: # Ubuntu 16.04 sudo apt-get install build-essential ocam
LinuxSGX使用(2)-Hello Enclave
daichunkai123的博客
09-20 3627
在编写代码之前,我们需要定义可信和不可信的函数,我们首先建立一个文件夹,在文件夹中为了编译方便(仿照上一节的makefile写我们自己的makefie)也仿照sdk给的例子中的文件夹布局建立新的文件夹文件夹的布局如下: 其中后缀为xml,lds,pem的文件,直接从SDK中SampleEnclave中拷贝即可(在所有的案例中,xml,lds的内容一样,但是名称不一样,也可以自己更该,但是makef
嵌入式Linux学习:Ubuntu20.04安装全攻略
“嵌入式Linux学习,包括Linux简介和Ubuntu 20.04安装教程。” 嵌入式LinuxLinux操作系统在嵌入式设备上的应用,这些设备通常包括小型计算机系统,如智能手机、路由器、智能家居设备等。由于Linux开源且高度可...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值