Поделиться через

Аттестация Azure профиль EAT для расширений домена Intel® Trust (TDX)

  • Статья

Этот профиль описывает утверждения для аттестации расширений доменов Intel® Trust (TDX), созданных как токен аттестации сущностей (EAT) Аттестация Azure.

Профиль содержит утверждения из спецификации IETF JWT , спецификации EAT), спецификации TDX Intel и конкретных утверждений Майкрософт.

Утверждения JWT

Полные определения следующих утверждений доступны в спецификации JWT.

iat - Утверждение "iat" (выдано по адресу) определяет время выдачи JWT.

exp — утверждение "exp " (время окончания срока действия) определяет время окончания срока действия или после чего JWT не должен приниматься для обработки.

iss — утверждение iss (издатель) определяет субъект, выдаваемый JWT.

jti — утверждение JWT (JWT ID) предоставляет уникальный идентификатор для JWT.

nbf — утверждение "nbf " (не раньше) определяет время, до которого JWT НЕ должен приниматься для обработки.

Утверждения EAT

Полные определения следующих утверждений доступны в спецификации EAT.

eat_profile — утверждение "eat_profile" определяет профиль EAT по URL-адресу или OID.

dbgstat — утверждение "dbgstat " применяется к объектам отладки на уровне сущности или подмодулы сущности, например [JTAG] и диагностического оборудования, встроенного в микросхемы.

intuse - Утверждение intuse предоставляет указание потребителю EAT о предполагаемом использовании маркера.

Утверждения TDX

Полные определения утверждений доступны в разделе A.3.2 TD Quote Body ® api библиотеки TDX DCAP.

tdx_mrsignerseam — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длины 48, содержащий измерение подписи модуля TDX.

tdx_mrseam — шестнадцатеричная строка размером 96 символов, представляющая массив длины 48 байтов, содержащий измерение модуля Intel TDX.

tdx_mrtd — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий измерение начального содержимого TDX.

tdx_rtmr0 — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий расширяемый регистр измерения среды выполнения.

tdx_rtmr1 — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий расширяемый регистр измерения среды выполнения.

tdx_rtmr2 — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий расширяемый регистр измерения среды выполнения.

tdx_rtmr3 — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий расширяемый регистр измерения среды выполнения.

tdx_mrconfigid — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий программно-определенный идентификатор для конфигурации TDX, например среды выполнения или операционной системы (ОС).

tdx_mrowner — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий программно определенный идентификатор владельца TDX.

tdx_mrownerconfig — шестнадцатеричная строка размером 96 символов, представляющая массив байтов длиной 48, содержащий программно-определенный идентификатор для конфигурации TDX, например конкретной для рабочей нагрузки, а не среды выполнения или ОС.

tdx_report_data — шестнадцатеричная строка размером 128 символов, представляющая массив байтов длиной 64. В этом контексте TDX имеет гибкость для включения 64 байт пользовательских данных в отчет TDX. Например, это пространство можно использовать для хранения nonce, открытого ключа или хэша большего блока данных.

tdx_seam_attributes — шестнадцатеричная строка 16 символов, представляющая массив байтов длины 8, содержащий дополнительную конфигурацию модуля TDX.

tdx_tee_tcb_svn — шестнадцатеричная строка 32 символа, представляющая массив байтов длиной 16, описывающий номера версий доверенной вычислительной базы (TCB) (SVN) TDX.

tdx_xfam — шестнадцатеричная строка 16 символов, представляющая массив байтов длиной 8, содержащий маску расширенных функций ЦП, которые разрешено использовать TDX.

tdx_seamsvn — число, представляющее SVN модуля Intel TDX. Полное определение утверждения доступно в разделе 3.1 SEAM_SIGSTRUCT: СТРУКТУРА ПОДПИСИ МОДУЛЯ INTEL® TDX спецификации интерфейса загрузчика Intel® TDX

tdx_td_attributes — шестнадцатеричная строка 16 символов, представляющая массив байтов длиной 8. Это атрибуты, связанные с доменом доверия (TD). Полные определения утверждений, упомянутых ниже, доступны в разделе A.3.4. Атрибуты TDX спецификации API библиотеки DCAP Intel® TDX.

tdx_td_attributes_debug — логическое значение, указывающее, выполняется ли TD в режиме отладки TD (задано значение 1) или нет (задано значение 0). В режиме отладки TD состояние ЦП и частная память доступны узлом VMM.

tdx_td_attributes_key_locker — логическое значение, указывающее, разрешено ли TD использовать Key Locker.

tdx_td_attributes_perfmon — логическое значение, указывающее, разрешено ли TD использовать perfmon и PERF_METRICS возможности.

tdx_td_attributes_protection_keys — логическое значение, указывающее, разрешено ли TD использовать ключи защиты от руководителей.

tdx_td_attributes_septve_disable — логическое значение, определяющее, следует ли отключить преобразование нарушений EPT в #VE на TD-доступе к ожидающим страницам.

Утверждения аттестации

attester_tcb_status — строковое значение, представляющее состояние уровня TCB для вычисляемой платформы. См. статью tcbStatus на® портале разработчика intel Trusted Services Управление API.

Конкретные утверждения Майкрософт

X-ms-attestation-type — строковое значение, представляющее тип аттестации.

x-ms-policy-hash — хэш политики оценки Аттестация Azure, вычисляемой как BASE64URL(SHA256(UTF8(BASE64URL(UTF8(текст политики))))).

x-ms-runtime — объект JSON, содержащий утверждения, определенные и созданные в тестовой среде. Это специализация концепции "анклав удерживаемых данных", где "анклав удерживаемые данные" специально форматируется как кодировка UTF-8 хорошо сформированного JSON.

x-ms-ver — версия схемы JWT (ожидаемое значение "1.0") }