客户端如何与Intel SGX enclave实例共享密钥，而不让托管enclave的服务器知道？

Question

我知道有适用于SGX的SSL库。但是如何在SGX和客户端之间建立秘密而不让主机知道呢？琐碎的方法会失败，比如：

在SGX中内置公钥-私钥对，然后客户端将会话密钥发送到SGX。会话密钥由SGX的公钥加密。

这不起作用，因为主机可以直接从编译的SGX enclave可执行文件中获取私钥。

在SGX中运行https服务器既不能达到此目的，也是因为SGX和客户端之间既没有身份验证，也没有预先共享的密钥。

Answer 1

你要找的东西叫做“(远程)认证”。此过程用于验证已编译的enclave是否被篡改，以及(远程)节点是否确实是您期望的节点。

作为认证步骤的一部分，您可以安全地与enclave交换信息(可能是会话密钥)。