關於 Intel SGX 或 TDX 的認證,適用於 Virtual Servers for VPC
選取可用性
認證是一種驗證程序,可確保運行環境是在已知安全組態的系統上,以加密的 SGX 或 TDX enclave 實體化。 Intel 的 Data Center Attestation Primitives (DCAP) 有助於進行認證。
在達拉斯(美國南部)、華盛頓特區(美國東部)和法蘭克福(歐洲中部)地區提供機密運算簡介。 使用 Intel SGX 進行 VPC 的機密運算地區為達拉斯 (美國南部)、華盛頓特區 (美國東部) 和法蘭克福 (歐洲北部)。 使用 Intel TDX for VPC 的機密運算僅適用於華盛頓特區 (美國東部) 地區。 如果要使用機密運算設定檔和 TDX 建立虛擬伺服器實例,則只能在華盛頓特區 (美國東部) 區域建立該虛擬伺服器實例。 您無法在任何其他區域建立 TDX 虛擬伺服器實例,包括達拉斯 (us-south) 和法蘭克福 (eu-de)。 如需詳細資訊,請參閱 機密運算已知問題。 機密計算僅適用於選定的設定檔。 如需詳細資訊,請參閱 機密運算配置文件。
Intel SGX 透過應用程式隔離技術,協助保護正在使用中的資料。 Intel TDX 透過虛擬機器隔離技術,協助保護正在使用中的資料。 透過使用這些功能,開發人員可以保護其程式碼和資料的完整性與機密性。
啟用 SGX 驗證
PCK 憑證在 SGX 虛擬伺服器中可用,因此您不需要從 PCCS 服務取得。 此憑證位於 /root/.dcap-qcnl/*。 非根使用者必須複製 /root/.dcap-qcnl/* 目錄到他們的 $HOME 目錄,才能使用 DCAP。
安裝 Intel 指定的 DCAP 和 QCNL 套件。
安裝 DCAP 1.19 版或更新版本,因為舊版不支援本端快取憑證。
重新設定 AESM 以使用本機快取的 PCK 憑證,然後如以下範例所示重新啟動服務。
-
設定 /etc/sgx_default_qcnl.conf
"use_secure_cert": false "local_cache_only": true -
重新啟動
aesmdsystemctl restart aesmd
啟用 TDX 驗證
若要啟用 TDX 的驗證,請遵循 Intel 說明 Trust Domain at Runtime。
TDX 不支援 vsock 報價產生介面。 對於報價產生,您必須使用 tdvmcal。
Intel 的 SGX 和 TDX 文件
有關 SGX 和 TDX 的詳細資訊,請參閱下列連結。
SGX
- 若為 DCAP,請參閱 Intel ® SGX 資料中心 AttestationPrimitives Intel ® SGX DCAP。
- 如需使用 DCAP 的認證,請參閱 Quote Generation,Verification,and Attestation with Intel ® Software Guard Extensions Data Center Attestation Primitives(Intel ® SGX DCAP)。
- 有關 DCAP 的安裝,請參閱 Intel® Confidential Computing Documentation ){: external}。
- 如需「認證驗證」服務,請參閱 Intel ® 信任權限。
TDX
- 有關 TDX,請參閱 Intel TDX 啟用指南。
- 有關 TDX 遠端驗證,請參閱 Intel TDX 遠端驗證。