Le lancement d’une enclave en mode pré-version ne protège pas les données de l’enclave au niveau matériel.
Lors du lancement d’une enclave en mode de pré-version (DisableDebug = 0), les valeurs se trouvant à l’intérieur de l’enclave sont accessibles par l’application non fiable. Lorsque l’enclave est compilée en mode de pré-version, l’isolation de la mémoire est-elle appliquée par Intel® SGX ? Est-il possible d’appliquer l’isolation de la mémoire sans que l’enclave soit signée par Intel/possédant une licence commerciale ?
Dans une enclave compilée en mode pré-version, les données ne sont pas nécessairement protégées par le matériel. En mode version, l’accès à la mémoire d’enclave (par des applications non fiables, un débogueur, etc.) est désactivé au niveau matériel, c’est pourquoi certaines valeurs en mode pré-version peuvent être divulguées.
Pour une isolation et une protection complètes de la mémoire, l’enclave doit être signée par Intel.
Assurez-vous que les indicateurs sont correctement définis avant de fonctionner en mode de pré-version :
sgx_prerelease =1
sgx_debug=0
sgx_mode=hw