在 BIOS 中启用英特尔 SGX答案

【问题标题】：Enabling Intel SGX in BIOS在 BIOS 中启用英特尔 SGX
【发布时间】：2018-11-28 02:28:41
【问题描述】：

我想在我的 Lenovo Tower S510 10L3-000JFM 上测试 Intel SGX 技术。我通过https://github.com/ayeks/SGX-hardware 检查了我的 CPU Intel Core i7-6700 支持 SGX，但 BIOS 不支持，或者可能未启用（在 BIOS 中）。 BIOS 更新可以解决此问题。但是，Lenovo 最近在https://pcsupport.lenovo.com/us/en/products/desktops-and-all-in-ones/lenovo-s-series-all-in-ones/s510-desktop/10kw/downloads/ds112505 中的 BIOS 更新没有明确说明，因为我不想在不确定的情况下继续进行这种危险的操作。

我的问题是：此 BIOS 更新是否支持 Intel SGX？或不？欢迎任何帮助或资源。

最后一次 BIOS 更新是 01/09/2016，最后一次 CPU 微码更新是 07/01/2016。

【问题讨论】：

你已经阅读过他们的文档了吗？
当然可以。在更新说明 download.lenovo.com/pccbbs/thinkcentre_bios/m0uj931usa.txt 中，他们没有提到 SGX 支持。所以，如果您知道任何其他文档来源，请告诉我。
在这种情况下，您应该咨询联想支持
请问有地址吗？
不知道，也许是 support.lenovo.com？

【解决方案1】：

据联想 BIOS 工程师称，此计算机型号的 BIOS 不支持 Intel SGX，并且没有未来的计划。

【讨论】：

好 - SGX 是一场过于复杂的灾难，最初（由于关键限制）它只能由大公司使用（用于 DRM 方案）。从那以后，已经发生了多次成功的攻击，这使得它对于所有实际用途都毫无价值（也就是说，任何一开始就不能只信任内核的情况）。
我认为它没有您描述的那么灾难性，文献中发现的攻击在获得对平台的“物理”访问后利用 SGX 漏洞。持怀疑态度的用户有理由怀疑不信任内核、VMM、ME、SMM、BIOS 等。
如果内核是攻击者（或者至少，如果内核被入侵），我所看到的所有攻击都是可能的。要么你信任内核（并且不需要 SGX），要么你不信任内核（并且不能依赖 SGX）。

【解决方案2】：

Linux 内核不会透明地处理英特尔 SGX。必须专门为英特尔 SGX 编写应用程序才能使用它。

如果您只是想为英特尔 SGX 编写代码，您可以使用 SGX SDK 中提供的 SIMULATION 模式编写代码并进行测试。您将无法使用远程证明（和本地证明），因为它需要访问硬件。除此之外，一切都应该正常。

【讨论】：