在安全飞地 (SGX) 中运行任意应用程序

Question

我希望我的 C++ 应用程序在安全 enclave (Intel SGX) 内启动任意应用程序（假设通过 python 解释器运行 python 脚本）。这可能吗？ 步骤如下。

1. 我的应用程序初始化一个飞地并执行其证明。
2. 接下来，它以某种方式将 python 解释器和 python 脚本上传到 enclave。
3. 它还将一些要由脚本处理的数据上传到 enclave。
4. 然后，脚本在飞地内启动并处理数据。
5. 最后将处理结果上传回主机。

这种情况可能吗？如果是，有没有关于如何执行此操作的示例？

Answer 1

Microsoft OpenEnclave 也是一个选择。
有很多向 SGX 添加未修改的库，然后运行玩具应用程序的示例： oeapkman，包管理器和工具箱对于 enclave 开发：apkman。

Answer 2

如果 AWS Nitro Enclaves 能让您满意，那么 Oblivious 框架就可以让您执行您所描述的操作。

有一个关于部署 FastAPI 服务器的完整教程和 YouTube 演练，例如，此处 。

披露：我与 Oblivious 合作，但这篇文章绝不是广告或插件，我认为它只是满足 @pgr 的要求。