Intel SGX auf Ihrem Dedicated Server aktivieren

Ziel

Die Aktivierung der Intel Software Guard Extensions (SGX) auf Ihrem Server erlaubt es Ihnen, SGX-kompatible Anwendungen auszuführen. Intel SGX bietet erweiterte Hardware- und RAM-Verschlüsselungsfunktionen, um anwendungsspezifische Code- und Datenbereiche zu isolieren.

Diese Anleitung erklärt, wie Sie die SGX-Funktion aktivieren können.

Voraussetzungen

• Zugriff auf die OVHcloud API (optional)
• Sie haben einen Dedicated Server kompatibel mit der Option SGX in Ihrem Kunden-Account.
• Sie verfügen über die Zugangsdaten, die Sie nach der Installation per E-Mail erhalten haben.
• Ubuntu 24.04 oder equivalent ist auf dem Server installiert.

Zugriff auf das OVHcloud Kundencenter

• Direkter Link: Dedicated Server
• Navigationspfad: Bare Metal Cloud > Dedicated Server > Wählen Sie Ihren Server aus

In der praktischen Anwendung

SGX aktivieren

Die Aktivierung von SGX ist über das OVHcloud Kundencenter, die OVHcloud API oder den BIOS Ihres Servers möglich.

Über das OVHcloud Kundencenter

Über die OVHcloud API

Manuelle Konfiguration im BIOS

1 - Anmeldung im OVHcloud Kundencenter

Wählen Sie den Server aus, auf dem Sie SGX aktivieren möchten.

2 - SGX aktivieren

Wählen Sie im Tab Allgemeine Informationen im Bereich Erweiterte Funktionen die Schaltfläche ... neben dem Eintrag Sicherheit - Intel SGX (Software Guard Extensions) aus und klicken Sie auf SGX aktivieren im Dropdown-Menü.

Klicken Sie auf der nächsten Seite auf die Schaltfläche Aktivieren.

Sie können entweder SGX mit einer bestimmten Menge reservierten Speichers aktivieren oder SGX aktivieren, indem Sie Ihrem Software-System erlauben, den benötigten Speicher automatisch zu reservieren. Nachdem Sie Ihre Wahl getroffen haben, klicken Sie auf Bestätigen.

Es erscheint ein Fenster, um zu bestätigen, dass die Aktivierung von Intel SGX einen Neustart Ihres Servers erfordert.

Warning

Dies wird dazu führen, dass Ihr Server einmal oder mehrmals neu gestartet wird, abhängig vom Server-Modell.

1 - Anmeldung in der API-Konsole

Klicken Sie auf der OVHcloud API Seite:

• Klicken Sie oben rechts auf Authentication.
• Klicken Sie anschließend auf Login with OVHcloud SSO.
• Geben Sie Ihre OVHcloud Kunden-Zugangsdaten ein.
• Klicken Sie auf den Button Authorize, um API-Aufrufe von dieser Seite aus zuzulassen.

2 - SGX aktivieren

Rufen Sie den Namen Ihres Servers aus der Liste ab, die durch folgenden Aufruf zurückgegeben wird:

🇪🇺EU▾

GET/dedicated/server

Um zu überprüfen, ob Ihr Dienst über die SGX-Option verfügt, nutzen Sie folgenden Aufruf:

🇪🇺EU▾

GET/dedicated/server/{serviceName}/biosSettings/sgx

Aktivieren Sie SGX unter Verwendung des Servernamens:

Warning

Dies wird dazu führen, dass Ihr Server einmal oder mehrmals neu gestartet wird, abhängig vom Servermodell.

🇪🇺EU▾

POST/dedicated/server/{serviceName}/biosSettings/sgx/configure

Überprüfen Sie den Fortschritt des Konfigurationstasks, indem Sie diesen Endpunkt mit der taskId aufrufen, die vom vorherigen Aufruf zurückgegeben wurde:

🇪🇺EU▾

GET/dedicated/server/{serviceName}/task/{taskId}

Sie können bestätigen, dass der Status auf aktiviert gesetzt ist, indem Sie folgenden Aufruf ausführen:

🇪🇺EU▾

GET/dedicated/server/{serviceName}/biosSettings/sgx

1 - Starten Sie eine Remote KVM-Sitzung

Wählen Sie den Server aus, auf dem Sie SGX aktivieren möchten.

Wählen Sie im Tab IPMI/KMV, Starten Sie anschließend eine Remote KVM-Sitzung:

2 - SGX aktivieren

Starten Sie den Server neu und öffnen Sie das BIOS (meist durch Drücken von DEL oder F2).

Im BIOS wechseln Sie zu Advanced > Processor Configuration.

Aktivieren Sie die Optionen TME und SGX und konfigurieren Sie die gewünschte PRMRR-Größe:

Speichern Sie die Änderungen, indem Sie die Taste F10 drücken. Eine Bestätigung wird angezeigt; wählen Sie Yes.

Ihr Server wird anschließend neu starten und in Ihr Betriebssystem booten.

Installation des SGX-Software-Stacks

Verwenden Sie die folgenden Befehle, um Intels SDK zu installieren, um SGX-Anwendungen entwickeln und ausführen zu können.

Zunächst installieren Sie diese Dependencies:

sudo apt update
sudo apt install autoconf automake build-essential cmake debhelper git libcurl4-openssl-dev libprotobuf-dev libssl-dev libtool lsb-release ocaml ocamlbuild protobuf-compiler python-is-python3 reprepro wget perl unzip pkgconf libboost-dev libboost-system-dev libboost-thread-dev libsystemd0

Laden Sie anschließend den Quellcode herunter und bereiten Sie die Submodule und Binärdateien vor:

BASE_DIR=/opt/intel
[[ -d $BASE_DIR ]] || sudo mkdir -p $BASE_DIR && sudo chown `whoami` $BASE_DIR
cd $BASE_DIR
 
git clone https://github.com/intel/linux-sgx.git
 
cd linux-sgx
git checkout sgx_2.26
make preparation

Installieren Sie das SGX SDK:

make sdk_install_pkg
$ ./linux/installer/bin/sgx_linux_x64_sdk_2.26.100.0.bin --prefix=$BASE_DIR/

Testen der Beispielanwendung im Simulator-Modus

Um die Beispielanwendung LocalAttestation im Simulator-Modus zu erstellen und auszuführen:

BASE_DIR=/opt/intel
cd $BASE_DIR/sgxsdk/SampleCode/LocalAttestation/
source $BASE_DIR/sgxsdk/environment
 
make clean
SGX_MODE=SIM make
cd bin
./app
succeed to load enclaves.
succeed to establish secure channel.
Succeed to exchange secure message...
Succeed to close Session...

Erstellen und installieren von Intel SGX PSW

Intel SGX Platform Software (PSW) stellt Software-Bibliotheken bereit, um SGX-Anwendungen im Hardware-Modus auszuführen. Um das lokale Debian-Repository zu erstellen, das die Pakete hostet, führen Sie folgende Befehle aus:

BASE_DIR=/opt/intel
cd $BASE_DIR/linux-sgx
make deb_local_repo

Erstellen Sie folgende Datei, um das lokale Repository zur System-Repository-Konfiguration hinzuzufügen:

$ cat /etc/apt/sources.list.d/sgx.sources
Types: deb
URIs: file:/opt/intel/linux-sgx/linux/installer/deb/sgx_debian_local_repo
Suites: noble
Components: main
trusted: yes

Installieren Sie anschließend folgende Pakete:

sudo apt update
sudo apt-get install libsgx-epid libsgx-quote-ex libsgx-dcap-ql

Testen der Beispielanwendung im Hardware-Modus (optional)

Um die Beispielanwendung LocalAttestation im Hardware-Modus zu erstellen und auszuführen:

BASE_DIR=/opt/intel
cd $BASE_DIR/sgxsdk/SampleCode/LocalAttestation/
source $BASE_DIR/sgxsdk/environment
 
make clean
SGX_MODE=HW make
cd bin
./app
succeed to load enclaves.
succeed to establish secure channel.
Succeed to exchange secure message...
Succeed to close Session...

Weiterführende Informationen

Für die weiteren Schritte (Ihre eigene Anwendung entwickeln, sich für die Remote-Bestätigung registrieren, etc.) finden Sie hier weitere nützliche Ressourcen:

• Intel SGX
• Intel SGX Attestation services
• Intel SGX linux-2.26 documentation
• github.com/intel/linux-sgx