Detalhes da estrutura de cotação usados pelo Serviço de Atestação Remota (IAS) para atestar Intel® Software Guard Extensions enclave e plataforma do cliente
Em atestação remota, o cliente fornece uma Cotação ao prestador de serviços e o prestador de serviços passa a Cotação para o Serviço de Atestação Remota (IAS) para verificação.
Quais componentes, ou materiais, o IAS usa para atestar o enclave e a plataforma do cliente?
O Serviço de Atestação Remota (IAS) da Intel® examina apenas a Cotação enviada pelo prestador de serviços, ou confiando a terceiros, para atestar o enclave e a plataforma do cliente.
Nota |
Consulte o capítulo estruturas de dados da especificação da API de atestação Intel® Software Guard Extensions (Intel® SGX) para obter detalhes da carga de prova de atestação. |
O Enclave de Citações (QE), que é um enclave arquitetônico desenvolvido e assinado pela Intel, gera a Citação. Os seguintes campos na Cotação são usados pelo IAS para verificar a identidade do enclave:
- MRENCLAVE
- MRSIGNER
- ISVPRODID
- ISVSVN
Esses campos não são modificáveis pelo enclave de ISV. Durante o processo de atestação, o hardware do processador gera uma medição CMAC da cotação. Se o CMAC for alterado, o teste falhará.
Apenas o QE assinado pela Intel poderá obter a chave de atestação privada durante a etapa de provisionamento reconhecida pela IAS. Qualquer outro enclave, mesmo usando o código QE de código aberto, não será capaz de obter uma chave de comprovação que o IAS aceitará, uma vez que ele não será assinado pela chave de assinatura do Intel QE.
Todos os dados juntos incluem a Base de computação confiável (TCB). O IAS mantém um banco de dados de TCBs aceitáíveis para todos os processadores Intel que suportam SGX. Durante a atestação, os dados na cotação fornecida são comparados aos TCBs conhecidos e bons mantidos pela Intel, e o relatório de atestação gerado contém os resultados de comparação.