confidential-computing-modules icon indicating copy to clipboard operation
confidential-computing-modules copied to clipboard

Published 20 hours ago verified publisher icon LayerXcom

[frame/mra-tls] attested TLS用のEE証明書を定期的に更新

Open osuketh opened this issue 4 years ago • 1 comments

AsIs:

KeyVaultサーバのstartエンドポイントにリクエストを送るごとに、TLS証明書を発行・remote attestationし、ServerConfigの生成。

https://github.com/LayerXcom/anonify/blob/46a5ff4b27870d72b5926710f1c32ac91430eaa7/modules/key-vault-enclave/src/server.rs#L28-L32

ToBe:

TLS証明書を発行してから、特定の期間(e.x. 1時間)を経過していないか、別スレッドでノード間通信(via attested TLS)時に監視し、経過している場合はTLS証明書を新規発行(remote attestationも実行)

  • https://github.com/apache/incubator-teaclave/blob/05769c80fd15612003d629603cadd2ecddbfca46/attestation/src/attestation.rs#L60-L62
  • https://github.com/apache/incubator-teaclave/blob/05769c80fd15612003d629603cadd2ecddbfca46/rpc/src/server.rs#L81-L85
  • https://github.com/apache/incubator-teaclave/blob/05769c80fd15612003d629603cadd2ecddbfca46/rpc/src/config.rs#L122-L139

osuketh avatar Jan 08 '21 02:01 osuketh

現状、

  • クライアント側はEnclave初期化時に一度Remote Attestationし、証明書生成。
  • サーバー側はstartリクエスト処理ごとにRemote Attestationし、証明書生成。

osuketh avatar Jan 09 '21 08:01 osuketh