ID บทความ: 000057197 ประเภทข้อมูล: ข้อความแสดงข้อผิดพลาด การตรวจสอบครั้งล่าสุด: 25/08/2021

กําลังรับสถานะ ISV Enclave Trust เป็น "Enclave NOT TRUSTED - เหตุผล: CONFIGURATION_AND_SW_HARDENING_NEEDED" ระหว่างการรับรองระยะไกล

BUILT IN - ARTICLE INTRO SECOND COMPONENT
สรุปข้อมูล

วิธีลดความเสี่ยงจากคําแนะนําด้านการรักษาความปลอดภัยทั่วไปที่ส่งคืนโดย Intel Attestation Service ระหว่างการรับรองความถูกต้องจากระยะไกล

คำอธิบาย

การประกวดราคาระยะไกลบน ตัวอย่าง sgx-ra จะส่งคืนสถานะความน่าเชื่อถือ ISV Enclave ดังเช่น: Enclave NOT TRUSTED - สาเหตุ: CONFIGURATION_AND_SW_HARDENING_NEEDEDหรือCONFIGURATION_NEEDED

คําตอบจาก Intel Attestation Service (IAS) ที่ให้มา: คําแนะนําIDs = INTEL-SA-00334,INTEL-SA-00161,INTEL-SA-00219,INTEL-SA-00289

ความละเอียด

ด้านล่างนี้เป็นรายชื่อคําแนะนําด้านการรักษาความปลอดภัยทั่วไป (SAs) ที่ส่งคืนโดย Intel Attestation Service (IAS) และวิธีการลดความเสี่ยง:

  • INTEL-SA-00334: จํานวนเต็มในการโหลด (LVI)เจาะลึก:
    1. อัปเดต ซอฟต์แวร์แพลตฟอร์ม (Intel® SGX) Intel® Software Guard Extensions (PSW)
    2. สร้างการเข้าใช้งานด้วยชุดเครื่องมือที่อัปเดตแล้วเพื่อลดทอนประสิทธิภาพสูงสุด
    หมาย เหตุหากโปรเซสเซอร์ได้รับผลกระทบจาก SA-00334 (LVI), Intel Attestation Service (IAS) จะตอบกลับอย่างน้อยSW_HARDENING_NEEDEDเสมอ IAS ไม่สามารถระบุได้ว่าลูกค้าได้สร้างการเข้าใช้งานโดยมีการลดผลกระทบหรือไม่  ฝ่ายผู้พึ่งพาต้องดู ISVSVN (เวอร์ชั่น Enclave) ของฝ่ายผู้พึ่งพา และตัดสินใจว่าเป็นเวอร์ชั่นล่าสุดหรือไม่
  • INTEL-SA-00289: "Plundervolt" - คําแนะนําในการแก้ไขการตั้งค่าแรงดันไฟฟ้า:
    1. อัปเดต BIOS เป็นเวอร์ชั่นล่าสุดจาก OEM ที่แสดงบิตล็อคการโอเวอร์คล็อก
    2. เปิดใช้งานบิตการโอเวอร์คล็อกหากมีการเปิดเผยใน BIOS OEM ของแพลตฟอร์มต้องแสดงบิตการล็อกการโอเวอร์คล็อกใน BIOS สําหรับบอร์ดอ้างอิงสําหรับลูกค้าของ Intel อยู่ใต้เมนู BIOS Advanced -> Power &> CPU - การควบคุมการจัดการพลังงาน ->การกําหนดค่า CPU Lock ->ล็อคการโอเวอร์คล็อก
  • INTEL-SA-00219: คําแนะนําการอัปเดตกราฟิกโปรเซสเซอร์:
  • INTEL-SA-00161: "L1TF" - Speculative Execution Side Channel -อัพเดต uCodeเป็นส่วนหนึ่งของ INTEL-SA-00115 ปิดใช้งาน Hyperthreading
หมาย เหตุการให้คําแนะนําด้านความปลอดภัยทั้งหมดต้องถูกลดความเสี่ยงในการถอดการแนะนําใดๆ หากคุณลดความเสี่ยงให้คําแนะนําด้านการรักษาความปลอดภัยเพียงหนึ่งเดียว คําแนะนําดังกล่าวจะยังคงปรากฏขึ้นเนื่องจากไม่ได้ลดความเสี่ยงทั้งหมด

 

ข้อมูลเพิ่มเติม

คําตอบจาก Intel Attestation Service รายงานการตรวจสอบ Attestation อาจรวมถึง Intel Security Advisories ที่จัดการกับช่องโหว่ที่พบในแพลตฟอร์มที่กําลังได้รับการพิสูจน์ รายงานการตรวจสอบจะให้ข้อมูลนี้แก่บุคคลที่สามที่พึ่งพาเพื่อให้บุคคลที่สามสามารถตัดสินใจตามนโยบายว่าจะเชื่อถือแพลตฟอร์มหรือไม่

เจ้าของแพลตฟอร์มหรือ ISV ควรอ่านคําแนะนําด้านการรักษาความปลอดภัยแต่ละตัวเพื่อเรียนรู้วิธีลดความเสี่ยงของแต่ละช่องโหว่

ผลิตภัณฑ์ที่เกี่ยวข้อง

บทความนี้จะนำไปใช้กับ 1 ผลิตภัณฑ์

เนื้อหาในหน้านี้เป็นการผสมผสานระหว่างการแปลเนื้อหาต้นฉบับภาษาอังกฤษโดยมนุษย์และคอมพิวเตอร์ เนื้อหานี้จัดทำขึ้นเพื่อความสะดวกของคุณและเพื่อเป็นข้อมูลทั่วไปเท่านั้นและไม่ควรอ้างอิงว่าสมบูรณ์หรือถูกต้อง หากมีความขัดแย้งใด ๆ ระหว่างเวอร์ชันภาษาอังกฤษของหน้านี้กับคำแปล เวอร์ชันภาษาอังกฤษจะมีผลเหนือกว่าและควบคุม ดูเวอร์ชันภาษาอังกฤษของหน้านี้