С Intel SGX, может ли анклав напрямую обращаться к внешнему пространству с помощью виртуального адреса?

Question

Я видел несколько противоположных мнений. Заранее спасибо!

Одно из мнений заключается в том, что если CPU находится в режиме анклава, он не может достичь ни одной страницы EPC. То есть, код в анклаве не может напрямую обращаться к внешнему виртуальному пространству.

Другое мнение, что анклав может видеть все виртуальное пространство этого процесса.

Это a link!

Answer 1

Я снова проверил руководство Intel по SGX, а также спросил некоторых ребят Intel. Наконец, я получил ответ.

Код внутри анклава может непосредственно записывать внешнюю память и непосредственно читать внешнюю память в соответствии с предыдущей политикой системы. Однако он не может получить внешний код.

Answer 2

Да, анклав может получить доступ к полному адресному пространству процесса. В противном случае связь между анклавом и не-анклавом невозможна.