SGX2

最近在接触sgx应用，这里也记录学习过程中整理的一些内容，也希望能和更多sgx相关的研究人员多多交流～

一了解SGX

1.1 SGX定义

Intel 软件防护扩展SGX（Software Guard Extension）是一项针对台式机和服务器平台的旨在满足可信计算需求的技术。Intel SGX是Intel架构新的扩展，在原有架构上增加了一组新的指令集和内存访问机制。
Intel在2015年从第6代Intel酷睿处理器平台开始引入了Intel软件防护扩展新指令集，使用特殊指令和软件可将应用程序代码放入一个enclave中执行。Enclave可以提供一个隔离的可信执行环境，可以在BIOS、虚拟机监控器、主操作系统和驱动程序均被恶意代码攻陷的情况下，仍对enclave内的代码和内存数据提供保护，防止恶意软件影响enclave内的代码和数据，从而保障用户的关键代码和数据的机密性和完整性。
目的不是为了消除软件漏洞，而是为重要的应用程序提供安全的容器(enclave)。

1.2 基本原理

SGX应用由两部分组成：
untrusted 不可信区：代码和数据运行在普通非加密内存区域，程序main入口必须在非可信区。
trusted 可信区：代码和数据运行在硬件加密内存区域，此区域由CPU创建的且只有CPU有权限访问。

image
当一个安全区域函数被调用时，只有安全区域内的代码才能看到其数据，外部访问总是被拒绝；返回时，安全区数据将保留在受保护的内存中。
非可信区只能通过ECALL函数调用可信区内的函数，可信区只能通过OCALL函数调用非可信区的函数，ECALL函数和OCALL函数通过EDL文件声明。

1.3 两大机制

1.3.1 保护机制

针对enclave的保护机制主要包括两个部分：一是enclave内存访问语义的变化，二是应用程序地址映射关系的保护。这两项功能共同完成对enclave的机密性和完整性的保护。

1.3.2 认证机制

SGX 提出了两种类型的身份认证方式：一种是平台内部 enclave 间的认证，用来认证进行报告的 enclave 和自己是否运行在同一个平台上；另一种是平台间的远程认证，用于远程的认证者认证 enclave 的身份信息。

本地证明：同一平台的两个Enclave之间的证明过程。
远程证明：Enclave和不在平台上的第三方之间的证明过程。

【SGX 入门教程-01】Intel® Software Guard Extensions Introductory Overview：https://www.bilibili.com/video/av37239146/

二 SGX开发应用

2.1 安装

2.1.1 Window10安装配置Intel SGX

实验环境要求：BIOS中开启SGX配置，Intel高级菜单—>CPU配置软件Guard扩展指令集（SGX）选择enable。（如果BIOS不支持SGX，可以通过SDK内置的模拟器来运行调试enclave程序，无需安装Intel SGX平台软件PSW）

Intel ME下载及安装：https://downloadcenter.intel.com/download/28680/Intel-Management-Engine-Driver-for-Windows-7-
E:\devsoft\sgx\ME_SW_1909.12.0.1237\Corp\ME_SW_MSI\SetupME.exe
安装Visual Studio专业版 2017，这一步一定要在安装SGX SDK之前。否则，你启动VS2017时，无法看到SGX的插件。
安装SGX SDK：https://registrationcenter.intel.com/en/products/postregistration/?sn=CCXS-ZSSJ7GG5&EmailID=908947250%40qq.com&Sequence=2444010&ret=n 下载PSW(平台环境）和SDK(必须的)，下载后的exe文件解压后，有说明文档和安装的exe。这里需要注册Intel学生用户。

image

如果硬件不支持SGX，可以不用装PSW，只安装SDK可以使用模拟选项进行编译；如果支持SGX，就可以安装PSW进行真实enclave程序的运行。
先安装SDK：SDK直接安装就行，Intel(R)_SGX_Windows_SDK_2.5.101.3.exe。
再安装PSW：PSW有在线安装和离线安装两种方式。常用离线安装：https://blog.csdn.net/zhangyajunna/article/details/103762440

2.1.2 Ubuntu Intel SGX SDK环境搭建

使用环境：操作系统Ubuntu 16.04 LTS
硬件需求仅当安装sgx驱动和PSW时需要，安装sgx sdk并不需要硬件支持。
硬件不支持的情况下，可以在模拟环境下编写测试SGX程序，其中makefile里SGX_MODE=SIM。
参考：https://blog.csdn.net/u013433886/article/details/117715502

sudo apt-get update
sudo apt-get install libssl-dev libcurl4-openssl-dev libprotobuf-dev
sudo apt-get install build-essential python

# 下载Intel SGX驱动并安装
wget https://download.01.org/intel-sgx/sgx-linux/2.7.1/distro/ubuntu16.04-server/sgx_linux_x64_driver_2.6.0_4f5bb63.bin
chmod +x sgx_linux_x64_driver_2.6.0_4f5bb63.bin
sudo ./sgx_linux_x64_driver_2.6.0_4f5bb63.bin
sudo reboot

# 下载Intel SGX PSW并安装
wget https://download.01.org/intel-sgx/sgx-linux/2.7.1/distro/ubuntu16.04-server/libsgx-enclave-common_2.7.101.3-xenial1_amd64.deb
sudo dpkg -i ./libsgx-enclave-common_2.7.101.3-xenial1_amd64.deb

# 下载并安装Intel SGX SDK
wget https://download.01.org/intel-sgx/sgx-linux/2.7.1/distro/ubuntu16.04-server/sgx_linux_x64_sdk_2.7.101.3.bin
chmod +x ./sgx_linux_x64_sdk_2.7.101.3.bin
./sgx_linux_x64_sdk_2.7.101.3.bin
# 安装过程中可以手动输入SDK要安装到的目标位置

# 添加环境变量，执行上一步结束时输出的命令
source /path/to/sgxsdk/environment

# 运行一下实例程序
cd /path/to/sgxsdk/SampleCode/SampleEnclave

# 编辑一下Makefile
# Intel SGX SDK 的安装位置
SGX_SDK ?= /home/luoyhang003/SGX/sgxsdk
# 运行类型：HW 真实环境；SIM 模拟器环境
SGX_MODE ?= SIM
# 运行架构：仅支持 64 位
SGX_ARCH ?= x64
# 是否为：Debug 调试模式
SGX_DEBUG ?= 1

# 编译
sudo make
# 运行
./app

注意：sgx的安装可以不用安装clsClient-1.45.449.12-1.x86_64.rpm，官网下载链接http://registrationcenter-download.intel.com/akdlm/irc_nas/11414/iclsClient-1.45.449.12-1.x86_64.rpm也失效了，很多博客上的教程仍然要求安装clsClient，但实际安装过程中已经不需要了。

【SGX 入门教程-02】Detecting and Enabling Intel® SGX：https://www.bilibili.com/video/BV1jt411D79Q/?spm_id_from=333.788.recommend_more_video.-1

2.2 开发