Проверка целостности реестра и проверка записей в реестре прозрачности подписывания Microsoft

В этой статье показано, как проверить целостность реестра прозрачности подписывания Microsoft (MST) и проверить записанные записи с помощью обозревателя реестра или скриптов CCF. Эти шаги подтверждают, что история транзакций реестра не повреждена, а также позволяют искать и просматривать записи, зарегистрированные интегрированной службой.

Проверка отдельной подписи или прозрачного заявления от сервиса — это отдельный рабочий процесс на стороне аудитора, в котором используется квитанция, выданная MST при регистрации полезной нагрузки. Дополнительные сведения см. в прозрачных заявлениях и квитанциях и доказательствах включения.

Необходимые условия

Откройте обозреватель реестра MST

Автономный обозреватель реестра MST — это веб-интерфейс для взаимодействия с реестром MST и проверки прозрачности артефактов программного обеспечения. Он доступен по https://aka.ms/ledgerexplorerадресу .

Note

Обозреватель реестра также открытый код. Его можно запустить локально из исходного кода эксплорера scitt-ccf-ledger, чтобы независимо проверять подписи, не полагаясь на экземпляр, размещенный Microsoft.

Note

Кроме того, можно вручную скачать файлы реестра и использовать скрипты CCF для проверки. Дополнительные сведения см. в разделе 2. Скачивание вручную и скрипты CCF.

Вариант 1: Проверьте полезную нагрузку MAA с помощью обозревателя реестра

В этом примере демонстрируется проверка с помощью полезных данных Microsoft Аттестация Azure (MAA). Тот же процесс применяется к другим службам с различными идентификаторами.

Шаг 1. Открытие обозревателя реестра

  1. Перейдите по адресу https://aka.ms/ledgerexplorer.
  2. Перейдите на страницу "Файлы ".
  3. Если файлы уже присутствуют, перейдите в раздел "Конфигурация" и выберите "Очистить все данные".

Шаг 2. Импорт данных реестра

  1. Выберите "Добавить файлы" и перейдите на вкладку "Прозрачность подписывания Microsoft".

  2. Введите доменное имя реестра MST:

    • Центр обработки данных США: esrp-cts-cp.confidential-ledger.azure.com
    • Европейский центр обработки данных: esrp-cts-db.confidential-ledger.azure.com

    Note

    Эти два центра обработки данных являются разными реестрами; Данные не перекрываются между ними.

  3. Выберите Импортировать.

  4. Выберите последний файл, чтобы скачать все файлы реестра вплоть до выбранного файла.

Шаг 3. Проверка целостности реестра

  1. Откройте страницу проверки реестра .
  2. Нажмите кнопку "Пуск проверки".
  3. Обозреватель анализирует записи и проверяет целостность данных.
  4. Дождитесь завершения процесса проверки.

Шаг 4: Найдите полезную нагрузку

  1. Откройте страницу "Таблицы ".
  2. Выберите public:scitt.entry в области навигации.
  3. Используйте бесплатный текстовый фильтр для поиска идентификатора службы, которую требуется проверить. Список идентификаторов служб см. в разделе " Идентификаторы служб" для поддерживаемых служб.
  4. Инструмент фильтрует и отображает все материалы, соответствующие вашему идентификатору.

Шаг 5: Просмотрите сведения о полезной нагрузке

  1. Выберите запись для просмотра сведений.
  2. Изучите содержимое полезной нагрузки, в том числе:
    • Метаданные события подписывания
    • Контрассигнатура
    • Доказательство включения в дерево Меркла
  3. Убедитесь, что запись не была изменена.

Дополнительные сведения

Обозреватель реестра предоставляет доступ к дополнительным таблицам для более глубокого изучения:

  • public:ccf.gov.scitt.configuration: просмотр политик принятия.
  • public:ccf.gov.proposals: см. действия оператора.
  • public:ccf.gov.members.info: Проверять личности участников.
  • public:ccf.gov.nodes.info: просмотр сведений о узле.

Вариант 2. Скачивание вручную и скрипты CCF

Для расширенных пользователей или автоматической проверки можно вручную скачать файлы реестра и использовать скрипты CCF.

Необходимые условия

  • Python установлен в системе
  • Установленная библиотека аудита CCF Python

Шаг 1. Установка служебных программ CCF

Следуйте документации в библиотеке аудита CCF Python, чтобы установить необходимые средства.

Шаг 2. Скачивание файлов реестра

  1. Создайте URL-адрес, добавив ledger-files- его в домен реестра:

    • Пример: ledger-files-esrp-cts-cp.confidential-ledger.azure.com
  2. Скачайте файлы по одному из каталога ledger на ваш локальный компьютер.

Note

Скрипт автоматической загрузки не предоставляется. Вы должны написать собственный скрипт, если вам нужно скачать файлы массово.

Шаг 3. Проверка целостности реестра

Выполните следующую команду, чтобы проверить целостность реестра:

read_ledger.py /path/to/ledger/dir

Средство подтверждает завершение проверки реестра.

Шаг 4. Анализ и поиск записей

Используйте средства CCF для анализа реестра и поиска определенных записей с помощью EKU или идентификаторов субъекта, относящихся к вашей службе. Список идентификаторов служб см. в разделе " Идентификаторы служб" для поддерживаемых служб.

Общие сведения о результатах проверки

Успешная проверка подтверждает, что:

  • Подпись записывается в неизменяемом реестре.
  • Запись не подвергалась несанкционированным изменениям с момента её записи.
  • Криптографическое доказательство включения действительно.
  • Событие подписывания следует политике доверия службы.

Если возникли проблемы, ознакомьтесь с разделом "Устранение неполадок" реестра прозрачности подписывания Microsoft.

Дальнейшие действия