Comment atténuer les avis de sécurité courants retournés par le Service d’attestation Intel lors de l’attestation à distance
Attestation à distance sur les retours sgx-ra-sample ISV Enclave Trust Status comme : Enclave NOT TRUSTED - Raison : CONFIGURATION_AND_SW_HARDENING_NEEDED ou CONFIGURATION_NEEDED.
La réponse du service d’attestation Intel (IAS) comprenait : avisiD = INTEL-SA-00334, INTEL-SA-00161, INTEL-SA-00219, INTEL-SA-00289
Vous trouverez ci-dessous une liste des avis de sécurité courants retournés par le service d’attestation Intel et comment les atténuer :
- INTEL-SA-00334: LVI (Load Value Injection)Deep Dive:
- Mettez à jour Intel® Software Guard Extensions logiciel de la Intel® SGX (Intel® SGX).
- Construisez des enclaves avec la boîte à outils mise à jour pour atténuer entièrement.
Note Si un processeur est affecté par SA-00334 (LVI), le Service d’attestations Intel (IAS) répondra toujours avec au moins SW_HARDENING_NEEDED. L’IAS ne peut pas déterminer si un client a construit ses enclaves avec les atténuations en place. La partie fidée doit examiner la version de l’ISVSVN (version enclave) de son enclave et décider si elle est à jour ou non. - INTEL-SA-00289: « C’est le cas » - Avis de modification des paramètres de tension :
- Mettez à jour le BIOS avec la dernière version de l’OEM qui expose le bit de verrouillage d’overclocking.
- Activez le verrouillage d’overclocking s’il est exposé dans le BIOS. Le système OEM de la plateforme doit exposer le verrouillage d’overclocking dans le BIOS. Pour les cartes de référence client Intel, elle se place sous le menu du BIOS Avancé -> Alimentation & Performances -> Processeur - Contrôle de gestion de l’alimentation -> configuration du verrouillage du processeur -> verrouillage d’overclocking.
- INTEL-SA-00219: Avis de mise à jour des graphiques des processeurs :
- Désactivez les graphiques intégrés ou utilisez des techniques spéciales de gestion de la mémoire dans vos enclaves. La désactivation des graphiques intégrés est nécessaire pour effacer cette réponse.
- INTEL-SA-00161: « L1TF » ( L1TF) - Authentification d’exécution imminente - mise à jour uCode dans le cadre d’INTEL-SA-00115. Désactiver l’hyperthreading
Note | Tous les avis de sécurité doivent être atténuer afin de supprimer n’importe quel des avis. Si vous atténuez un seul de ces avis de sécurité, ils se présenteront toujours, car ils n’ont pas tous été atténues. |
La réponse du Service d’attestation Intel et le rapport de vérification de l’attestation peuvent inclure les avis de sécurité d’Intel qui s’adressent aux vulnérabilités trouvées dans la plate-forme attestée. Le Rapport de vérification fournit ces informations au tiers qui fait appel à lui afin qu’il puisse décider, en fonction de sa politique, s’il doit faire confiance à la plate-forme.
Le propriétaire de la plateforme ou l’isV doit lire chaque avis de sécurité pour savoir comment atténuer chaque vulnérabilité.