ID บทความ: 000058898 ประเภทข้อมูล: ข้อมูลผลิตภัณฑ์และเอกสารประกอบ การตรวจสอบครั้งล่าสุด: 19/07/2021

เหตุใดคุณจึงได้รับการสนับสนุนจาก Ecalls ที่เป็นอันตรายจากมุมมองด้านความปลอดภัย

BUILT IN - ARTICLE INTRO SECOND COMPONENT
สรุปข้อมูล

ลดความเสี่ยงด้านความปลอดภัยโดยการป้องกัน ocalls โทร ecalls ในIntel® Software Guard Extensions (Intel® SGX)

คำอธิบาย

ไม่พบเอกสารเกี่ยวกับสาเหตุที่ ecalls ที่ถูกขายทิ้งอาจเป็นอันตราย ecall ที่ลอย อยู่ในคอกคือเมื่อสายเรียก ocall และ ocall เรียก ecall

ความละเอียด

คู่มือนักพัฒนา Intel® Software Guard Extensions (Intel® SGX) อธิบาย:

คุณควรทราบว่าเมื่อมีการสร้าง OCall ขึ้นมา จะเปิดประตูสู่ ECalls ที่รังผึ้ง เมื่ออยู่นอกส่วนรวม แล้ว ผู้โจมตีที่พยายามค้นหาช่องโหว่อาจเรียกใช้ฟังก์ชันอินเทอร์เฟส ISV ใดๆ ที่เปิดเผยเมื่อ ECall สามารถเรียกเข้าสู่การห่อยความเร็วได้ เมื่อต้องใช้ OCall คุณอาจลดฟังก์ชันการบล็อกการโจมตีพื้นผิว ISV ดังเช่นไม่อนุญาตให้ใช้ ECaled ตัวอย่างเช่น คุณสามารถจัดเก็บข้อมูลสถานะ (ที่เกี่ยวข้องกับ OCall อยู่ระหว่างการพัฒนา) ภายในส่วน อย่างไรก็ตาม การห่อนั้นไม่สามารถขึ้นอยู่กับ ECalls ที่ถูกฝังอยู่ในระหว่างการสั่ง OCall ในขั้นต้นจะอนุญาตให้ใช้ ECalls (ECalls ในขั้นต้นระหว่าง OCall) และจํากัดตามปริมาณสแต็คที่สงวนอยู่ภายใน Enclave เท่านั้น อย่างไรก็ตาม ISV ควรทราบว่าโครงสร้างดังกล่าวซับซ้อนการวิเคราะห์ความปลอดภัยบนส่วนรวม เมื่อความต้องของ ECalls ที่รวมอยู่นั้นเกิดขึ้น แล้วตัวเขียนแบบรวมควรพยายามแบ่งพาร์ติชันแอปพลิเคชันด้วยวิธีการอื่น หากไม่สามารถหลีกเลี่ยง ECalls ที่จํากัดไว้ ได้ ตัวเขียน enclave ควรจํากัดฟังก์ชันอินเทอร์เฟซ ISV ที่อาจถูกเรียกอีกเพื่อจํากัดเฉพาะฟังก์ชันที่ต้องใช้อย่างเข้มงวดเท่านั้น

ผลิตภัณฑ์ที่เกี่ยวข้อง

บทความนี้จะนำไปใช้กับ 2 ผลิตภัณฑ์

เนื้อหาในหน้านี้เป็นการผสมผสานระหว่างการแปลเนื้อหาต้นฉบับภาษาอังกฤษโดยมนุษย์และคอมพิวเตอร์ เนื้อหานี้จัดทำขึ้นเพื่อความสะดวกของคุณและเพื่อเป็นข้อมูลทั่วไปเท่านั้นและไม่ควรอ้างอิงว่าสมบูรณ์หรือถูกต้อง หากมีความขัดแย้งใด ๆ ระหว่างเวอร์ชันภาษาอังกฤษของหน้านี้กับคำแปล เวอร์ชันภาษาอังกฤษจะมีผลเหนือกว่าและควบคุม ดูเวอร์ชันภาษาอังกฤษของหน้านี้