Détails de la structure de devis utilisés par l’IAS (Remote Attestation Service) pour attester Intel® Software Guard Extensions’enclave et de la plateforme client
Dans l’attestation à distance, le client donne un devis au fournisseur de services, et le fournisseur de services transmet le devis à l’IAS (Remote Attestation Service) pour vérification.
Quels composants ou matériaux IAS utilise-t-il pour attester de l’enclave et de la plateforme client ?
L’IAS (Remote Attestation Service) d’Intel® examine uniquement le devis envoyé par le fournisseur de services ou s’appuyant sur des tiers pour attester de l’enclave et de la plateforme client.
Note |
Reportez-vous au chapitre Structures de données de la spécification de l’API d’attestation Intel® Software Guard Extensions (Intel® SGX) pour obtenir des détails sur la charge utile de preuve d’attestation. |
L’enclave de devis (QE), qui est une enclave architecturale développée et signée par Intel, génère le devis. Les champs suivants du devis sont utilisés par IAS pour vérifier l’identité de l’enclave :
- MRENSISTANCE
- MRSIGNER
- ISVPIDID
- ISVSVN
Ces champs ne sont pas modifiables par l’enclave des isv. Pendant le processus d’attestation, le matériel du processeur génère une mesure CMAC du devis. Si le CMAC est modifié, l’attestation échoue.
Seul le QE signé Intel pourra obtenir la clé de attestation privée pendant l’étape d’approvisionnement reconnue par IAS. Toute autre enclave, même en utilisant le code QE open source, ne pourra pas obtenir de clé d’attestation que l’IAS acceptera car elle ne sera pas signée par la clé de signature Intel QE.
Toutes ces données comprennent le TCB (Trusted Computing Base). L’IAS maintient une base de données de tcBs acceptables pour tous les processeurs Intel qui prennent en charge SGX. Pendant l’attestation, les données de la devis fournies sont comparées aux tcCB dont la qualité est connue et maintenues par Intel, et le rapport d’attestation généré contient les résultats de comparaison.