ID Artikel: 000057197 Jenis Konten: Pesan Kesalahan Terakhir Ditinjau: 25/08/2021

Menerima ISV Enclave Trust Status sebagai "Enclave NOT TRUSTED - Reason: CONFIGURATION_AND_SW_HARDENING_NEEDED" selama Pengesahan Jarak Jauh

BUILT IN - ARTICLE INTRO SECOND COMPONENT
Ringkasan

Cara mengurangi advisories keamanan umum yang dikembalikan oleh Intel Attestation Service selama pengesahan jarak jauh

Deskripsi

Pengesahan jarak jauh pada sampel sgx-ra mengembalikan ISV Enclave Trust Status sebagai: Enclave NOT TRUSTED - Alasan: CONFIGURATION_AND_SW_HARDENING_NEEDED atau CONFIGURATION_NEEDED.

Respons dari Intel Attestation Service (IAS) termasuk: advisoryIDs = INTEL-SA-00334, INTEL-SA-00161, INTEL-SA-00219,INTEL-SA-00289

Resolusi

Di bawah ini adalah daftar Penasihat Keamanan umum (SAs) yang dikembalikan oleh Intel Attestation Service (IAS) dan cara menguranginya:

  • INTEL-SA-00334: Injeksi Nilai Beban (LVI)Deep Dive:
    1. Perbarui Perangkat Lunak Platform (PSW) Intel® Software Guard Extensions (Intel® SGX).
    2. Membangun perbudak dengan toolchain yang diperbarui untuk memitigasi sepenuhnya.
    CatatanJika prosesor terpengaruh oleh SA-00334 (LVI), Intel Attestation Service (IAS) akan selalu membalas dengan setidaknya SW_HARDENING_NEEDED. IAS tidak dapat menentukan apakah pelanggan telah membangun wilayah mereka dengan mitigasi di tempatnya.  Pihak mengandalkan perlu melihat ISVSVN (versi enclave) enclave-nya dan memutuskan apakah sudah diperbarui atau tidak.
  • INTEL-SA-00289: "Plundervolt" - Penasihat Modifikasi Pengaturan Tegangan:
    1. Perbarui BIOS ke versi terbaru dari OEM yang mengungkap bit kunci overclocking.
    2. Aktifkan bit kunci overclock jika terbuka di BIOS. OEM platform harus membuka bit kunci overclocking di BIOS. Untuk papan referensi pelanggan Intel, berada di bawah menu BIOS Advanced -> Power & Performance -> CPU - Kontrol Manajemen Daya -> konfigurasi Kunci CPU -> kunci overclocking.
  • INTEL-SA-00219: Penasihat Pembaruan Grafis Prosesor:
    • Nonaktifkan grafis terintegrasi, atau gunakan teknik penanganan memori khusus di dalam enclaves Anda. Menonaktifkan grafis terintegrasi diperlukan untuk menghapus respons ini.
  • INTEL-SA-00161:"L1TF" - Speculative Execution Side Channel - pembaruan uCode sebagai bagian dari INTEL-SA-00115.  Nonaktifkan hyperthreading
CatatanSemua Penasihat Keamanan harus dimitigasi untuk menghapus semua advisories. Jika Anda mengurangi hanya salah satu penasihat keamanan, itu masih akan muncul karena tidak semuanya dimitigasi.

 

Informasi tambahan

Respons dari Layanan Pengesahan Intel, Laporan Verifikasi Pengesahan, dapat mencakup Penasihat Keamanan Intel yang mengatasi kerentanan yang ditemukan dalam platform yang sedang dibuktikan. Laporan Verifikasi memberikan informasi ini kepada pihak ketiga yang mengandalkan sehingga pihak ketiga dapat memutuskan, berdasarkan kebijakan, apakah akan memercayai platform.

Pemilik platform atau ISV harus membaca setiap Penasihat Keamanan untuk mempelajari cara mengurangi setiap kerentanan.

Produk Terkait

Artikel ini berlaku untuk 1 produk

Isi halaman ini adalah kombinasi terjemahan manusia dan komputer dari konten berbahasa Inggris. Konten ini diberikan hanya untuk kenyamanan Anda serta sebagai informasi umum dan tidak bisa dianggap sebagai lengkap atau akurat. Jika terdapat kontradiksi antara versi bahasa Inggris halaman ini dan terjemahannya, versi bahasa Inggris akan didahulukan. Lihat versi bahasa Inggris halaman ini.