PSE의 사용 세부 정보
PSE를 호출하는 인텔® Software Guard Extensions(인텔® SGX) 구성 요소를 확인할 수 없습니다.
인텔® Software Guard Extensions(인텔® SGX) 원격 설명 엔드투엔드 예제에서는 PSE(Platform Services Enclave)의 목적을 설명합니다.
"PSE는 신뢰할 수 있는 시간 및 모노토닉 카운터에 서비스를 제공하는 인텔 SGX 소프트웨어 패키지에 포함된 아키텍처 엔클레이브입니다. 이는 비연대 세대 동안 재생 보호와 보안이 유효해야 하는 기간을 안전하게 계산하는 데 사용할 수 있습니다.
PSE는 크게 두 가지 시나리오에 사용됩니다.
-
원격 조사: 원격 설명 흐름에 대한 자세한 내용은 Windows*인텔 SGX용 개발자 참조 가이드의 원격 인텔® Software Guard Extensions 설명 엔드투엔드 예시를 참조하십시오. PSE는 엔클레이브를 통해만 호출할 수 있습니다. ISV 응용 프로그램은 트러브되지 않은 앱으로도 알려져 있습니다. 이 응용 프로그램은 인클레이브에게 응용 프로그램 변수를 통해 PSE를 b_pse 알려합니다. 그런 다음 엔클레이브는 원격 b_pse 컨텍스트를 sgx_ra_init데 사용되는 데이터 제어로 전달합니다. 이 변수가 설정되어 있는 경우 클라이언트에서 서비스 공급자까지 Msg3에는 플랫폼 서비스 정보가 포함됩니다. Msg3을 수신하면 서비스 공급자가 인텔 조사 서비스(IAS)로 보내는 페이로드에는 PSE 지원 도우미와 nonce가 포함됩니다. PSE 유해성 및 비스펙의 정의는 인텔 SGX API 사양의 증명 증거 페이로드 섹션을 참조하십시오. IAS가 서비스 공급자에게 보내는 테스트 검증 보고서에는 pseManifestStatus라는필드가 있으며, 이 필드는 플랫폼 서비스의 보안 속성이 검증되어 최신까지 인텔 SGX 서비스 공급자를 알 수 있습니다.
플랫폼 서비스를 요청하려면 PSE 세션이 설정되어야 합니다. sgx-ra-샘플의 엔클레이브 구현은 응용 프로그램 sgx_create_pse_session 값을 기반으로 하는 응용 b_pse.
- 밀봉 데이터: PSE에서 제공하는 모노토닉 카운터 및 신뢰 시간 서비스를 사용하여 디스크와 같이 인클레이브 외부에 저장되는 엔클레이브 비밀을 보호하는 데 사용되는 방법에 대한 자세한 내용은 Windows용 인텔 SGX 개발자 참조 안내서의 밀봉된 데이터 섹션을 참조하십시오. 구현 세부 사항은 Windows용 인텔 SGX SDK의 SealedData 샘플을 참조합니다.
서버 하드웨어에서 실행되는 인클레이브에는 플랫폼 서비스가 엔클레이브가 아니며 클라이언트별 기능을 사용할 수 없습니다.
Linux 인텔® Software Guard Extensions 2.인텔® SGX SDK부터 클라이언트 플랫폼을 포함한 모든 Linux* 기반 플랫폼에서 인텔 SGX(인텔 SGX) 플랫폼 서비스에 대한 지원이 제거되었습니다.
단조적 인텔 SGX용 데이터 API는 여전히 Windows*인텔® Software Guard Extensions(인텔® SGX) SDK의 일부로 Windows*® 플랫폼용 인텔 SGX 플랫폼에서 지원됩니다. Windows 인텔 SGX 소프트웨어 는 일반적으로 플랫폼 제조업체의 Windows 업데이트를 통해 설치됩니다.