ID Artikel: 000058898 Jenis Konten: Informasi & Dokumentasi Produk Terakhir Ditinjau: 19/07/2021

Mengapa Panggilan Nested Berbahaya dari Perspektif Keamanan?

BUILT IN - ARTICLE INTRO SECOND COMPONENT
Ringkasan

Mengurangi kerentanan keamanan dengan mencegah panggilan ecall dalam aplikasi Intel® Software Guard Extensions (Intel® SGX).

Deskripsi

Tidak dapat menemukan dokumentasi tentang mengapa ecall nested dapat berbahaya. Ecall nested adalah ketika ecall memanggil ocall dan ocall memanggil ecall.

Resolusi

Panduan Pengembang Intel® Software Guard Extensions (Intel® SGX) menjelaskan:

Anda harus menyadari bahwa ketika OCall dibuat, OCall akan membuka pintu untuk ECall yang bersarang. Setelah berada di luar enklave, penyerang yang mencoba menemukan kerentanan dapat memanggil fungsi antarmuka ISV apa pun yang diekspos sebagai ECall untuk secara berulang menghubungi enclave. Ketika OCall diperlukan, Anda dapat mengurangi fungsi antarmuka ISV yang memblokir serangan permukaan sehingga ECall yang bersarang tidak diizinkan. Misalnya, Anda dapat menyimpan informasi status (terkait dengan OCall yang sedang berlangsung) di dalam enclave. Namun, enklave tidak dapat tergantung pada ECall nested yang terjadi dalam urutan tertentu selama OCall. Pada awalnya, ECalls nested (ECalls selama OCall) diizinkan dan hanya terbatas oleh jumlah tumpukan yang disediakan di dalam enclave. Namun, ISV harus menyadari bahwa konstruk tersebut mempersulit analisis keamanan pada enclave. Ketika kebutuhan untuk ECalls nested muncul, penulis enclave harus mencoba mempartisi aplikasi dengan cara yang berbeda. Jika ECall nested tidak dapat dihindari, penulis enclave harus membatasi fungsi antarmuka ISV yang mungkin disebut berulang hanya untuk yang diwajibkan secara ketat.

Produk Terkait

Artikel ini berlaku untuk 2 produk

Isi halaman ini adalah kombinasi terjemahan manusia dan komputer dari konten berbahasa Inggris. Konten ini diberikan hanya untuk kenyamanan Anda serta sebagai informasi umum dan tidak bisa dianggap sebagai lengkap atau akurat. Jika terdapat kontradiksi antara versi bahasa Inggris halaman ini dan terjemahannya, versi bahasa Inggris akan didahulukan. Lihat versi bahasa Inggris halaman ini.