Kann ein Gerätetreiber in einer Intel SGX-Enklave ausgeführt werden? Oder ist es für eine Enklave unmöglich, auf den DMA-Speicher zuzugreifen und speicherabgebildete E/A durchzuführen?Gerätetreiber im Intel SGX-Gehäuse?
Ich habe bereits einen Gerätetreiber, der den gesamten erforderlichen Speicher zugeordnet hat, aber ich weiß nicht, ob es möglich ist, eine Enklave zu erstellen, die diese Zuordnungen teilt. Ich bin im Wesentlichen darüber verwirrt, ob Enklaven können nur Zugriff auf ihre eigenen privaten Speicher oder ob sie auch Zugriff beliebigen physischen Speicher, den ich ihnen zuordnen würde.
Die Dokumentation scheint zu sagen, dass die Enklave nicht auf Code an beliebigen Orten zugreifen kann, aber ich möchte die Regeln für Daten und MMIO kennen.
Enclave kann nur in Ring-3 laufen, daher kann es nicht als Treiber ausgeführt werden. Sie können jedoch einen Ring-3-Prozess erstellen, der vom Treiber zum Laden und Kommunizieren mit dem Treiber verwendet wird, aber Sie müssen immer noch eine Datei-IO außerhalb der Enklave ausführen. Datenzugriff außerhalb der Enklave ist möglich. –
Danke für die Antwort! Ich habe bereits meinen Fahrer in Ring-3 laufen. Bedeutet das, dass ich es in eine Enklave bringen kann? Wie ist die Speicherkarte für die Enklave definiert? (Vielleicht eine Dokumentation Referenz? Ich vermisste es bis jetzt.) Der Trick, den ich benutze, um den Treiber in Ring-3 auszuführen ist https://github.com/lukego/blog/issues/13 –
Sie finden Informationen auf wie es im Intel SGX SDK implementiert ist: https:///01.org/intel-software-guard-extensions/documentation/intel-sgx-developer-guide. Dennoch sind mlock, open, etc. syscalls und können nicht innerhalb einer Enklave aufgerufen werden - Sie benötigen eine Überbrückung, um sie in einer Enklave zu verwenden. –