ID de l'article: 000057197 Type de contenu: Messages d'erreur Dernière révision: 25/08/2021

Recevoir le statut de fi l’enclave ISV comme « Enclave NOT TRUSTED – Raison : CONFIGURATION_AND_SW_HARDENING_NEEDED » lors de l’attestation à distance

BUILT IN - ARTICLE INTRO SECOND COMPONENT
En bref

Comment atténuer les avis de sécurité courants retournés par le Service d’attestation Intel lors de l’attestation à distance

Descriptif

Attestation à distance sur les retours sgx-ra-sample ISV Enclave Trust Status comme : Enclave NOT TRUSTED - Raison : CONFIGURATION_AND_SW_HARDENING_NEEDED ou CONFIGURATION_NEEDED.

La réponse du service d’attestation Intel (IAS) comprenait : avisiD = INTEL-SA-00334, INTEL-SA-00161, INTEL-SA-00219, INTEL-SA-00289

Résolution

Vous trouverez ci-dessous une liste des avis de sécurité courants retournés par le service d’attestation Intel et comment les atténuer :

  • INTEL-SA-00334: LVI (Load Value Injection)Deep Dive:
    1. Mettez à jour Intel® Software Guard Extensions logiciel de la Intel® SGX (Intel® SGX).
    2. Construisez des enclaves avec la boîte à outils mise à jour pour atténuer entièrement.
    NoteSi un processeur est affecté par SA-00334 (LVI), le Service d’attestations Intel (IAS) répondra toujours avec au moins SW_HARDENING_NEEDED. L’IAS ne peut pas déterminer si un client a construit ses enclaves avec les atténuations en place.  La partie fidée doit examiner la version de l’ISVSVN (version enclave) de son enclave et décider si elle est à jour ou non.
  • INTEL-SA-00289: « C’est le cas » - Avis de modification des paramètres de tension :
    1. Mettez à jour le BIOS avec la dernière version de l’OEM qui expose le bit de verrouillage d’overclocking.
    2. Activez le verrouillage d’overclocking s’il est exposé dans le BIOS. Le système OEM de la plateforme doit exposer le verrouillage d’overclocking dans le BIOS. Pour les cartes de référence client Intel, elle se place sous le menu du BIOS Avancé -> Alimentation & Performances -> Processeur - Contrôle de gestion de l’alimentation -> configuration du verrouillage du processeur -> verrouillage d’overclocking.
  • INTEL-SA-00219: Avis de mise à jour des graphiques des processeurs :
    • Désactivez les graphiques intégrés ou utilisez des techniques spéciales de gestion de la mémoire dans vos enclaves. La désactivation des graphiques intégrés est nécessaire pour effacer cette réponse.
  • INTEL-SA-00161: « L1TF » ( L1TF) - Authentification d’exécution imminente - mise à jour uCode dans le cadre d’INTEL-SA-00115.  Désactiver l’hyperthreading
NoteTous les avis de sécurité doivent être atténuer afin de supprimer n’importe quel des avis. Si vous atténuez un seul de ces avis de sécurité, ils se présenteront toujours, car ils n’ont pas tous été atténues.

 

Informations complémentaires

La réponse du Service d’attestation Intel et le rapport de vérification de l’attestation peuvent inclure les avis de sécurité d’Intel qui s’adressent aux vulnérabilités trouvées dans la plate-forme attestée. Le Rapport de vérification fournit ces informations au tiers qui fait appel à lui afin qu’il puisse décider, en fonction de sa politique, s’il doit faire confiance à la plate-forme.

Le propriétaire de la plateforme ou l’isV doit lire chaque avis de sécurité pour savoir comment atténuer chaque vulnérabilité.

Produits associés

Cet article concerne 1 produits

Le contenu de cette page est une combinaison de traduction humaine et informatique du contenu original en anglais. Ce contenu vous est fourni pour votre commodité et à titre informatif seulement et ne saurait être totalement exact ou complet. En cas de contradiction entre la version anglaise de cette page et la traduction, c'est la version anglaise qui prévaut. Afficher la version anglaise de cette page.