Über Attestierung mit Intel SGX oder TDX für Virtual Servers for VPC

Selektiv verfügbar

Attestation ist ein Validierungsprozess, der sicherstellt, dass eine Laufzeitumgebung in einer verschlüsselten SGX- oder TDX-Enklave auf einem System mit einer bekannten Sicherheitskonfiguration instanziiert wird. Die Data Center Attestation Primitives (DCAP) von Intel erleichtern die Attestation.

Vertrauliche Datenverarbeitungsprofile sind in den Regionen Dallas (us-south), Washington DC (us-east) und Frankfurt (eu-de) verfügbar. Vertrauliche Berechnungen mit Intel SGX für VPC werden in Dallas (us-south), Washington DC (us-east) und Frankfurt (eu-de) durchgeführt. Vertrauliche Datenverarbeitung mit Intel TDX für VPC ist nur in der Region Washington, D.C. (USA-Ost) verfügbar. Wenn Sie eine virtuelle Serverinstanz mit einem vertraulichen Datenverarbeitungsprofil und TDX erstellen möchten, können Sie diese virtuelle Serverinstanz nur in der Region Washington DC (us-east) erstellen. Sie können keine virtuelle Serverinstanz mit TDX in einer anderen Region, einschließlich Dallas (us-south) und Frankfurt (eu-de), erstellen. Weitere Informationen finden Sie unter Vertrauliches Computing - bekannte Probleme. Vertrauliches Rechnen ist nur bei ausgewählten Profilen möglich. Weitere Informationen finden Sie unter Vertrauliche Datenverarbeitungsprofile.

Intel SGX hilft, Daten, die gerade verwendet werden, durch die Technologie der Anwendungsisolierung zu schützen. Intel TDX unterstützt den Schutz von Daten, die gerade verwendet werden, durch die Isolationstechnologie für virtuelle Maschinen. Durch die Nutzung dieser Funktionen können Entwickler die Integrität und Vertraulichkeit ihres Codes und ihrer Daten schützen.

Ermöglichung der Bescheinigung für SGX

Das PCK-Zertifikat ist auf dem virtuellen SGX-Server verfügbar, so dass Sie es nicht über einen PCCS-Dienst beziehen müssen. Dieses Zertifikat befindet sich unter /root/.dcap-qcnl/*. Ein Nicht-Root-Benutzer muss das Verzeichnis /root/.dcap-qcnl/* in sein Verzeichnis $HOME kopieren, um DCAP zu verwenden.

Installieren Sie die DCAP- und QCNL-Pakete wie von Intel angegeben.

Installieren Sie DCAP Version 1.19 oder höher, da frühere Versionen lokal zwischengespeicherte Zertifikate nicht unterstützen.

Konfigurieren Sie AESM neu, um das lokal zwischengespeicherte PCK-Zertifikat zu verwenden, und starten Sie den Dienst neu, wie im folgenden Beispiel gezeigt.

Konfigurieren Sie /etc/sgx_default_qcnl.conf

 "use_secure_cert": false
 "local_cache_only": true

Erneut starten aesmd

 systemctl restart aesmd

Aktivieren der Bescheinigung für TDX

Um die Bescheinigung für TDX zu aktivieren, folgen Sie den Intel-Anweisungen Trust Domain at Runtime.

TDX unterstützt keine vsock Schnittstelle für die Angebotserstellung. Für die Angebotserstellung müssen Sie tdvmcal verwenden.

SGX- und TDX-Dokumentation von Intel

Weitere Informationen über SGX und TDX finden Sie unter den folgenden Links.

SGX

Für DCAP siehe Intel ® SGX Data Center AttestationPrimitives Intel ® SGX DCAP.
Informationen zur Attestierung mit DCAP finden Sie unter Quote Generation, Verification, and Attestation with Intel ® Software Guard Extensions Data Center Attestation Primitives(Intel ® SGX DCAP).
Zur DCAP-Installation siehe Intel® Confidential Computing Documentation ){: external}.
Informationen zum Attestierungsverifizierungsservice finden Sie unter Intel ® Trust Authority.

TDX

Für TDX, siehe Intel TDX Enabling Guide.
Zur TDX-Fernbescheinigung siehe Intel TDX Remote Attestation.