Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как проверить целостность реестра прозрачности подписывания Microsoft (MST) и проверить записанные записи с помощью обозревателя реестра или скриптов CCF. Эти шаги подтверждают, что история транзакций реестра не повреждена, а также позволяют искать и просматривать записи, зарегистрированные интегрированной службой.
Проверка отдельной подписи или прозрачного заявления от сервиса — это отдельный рабочий процесс на стороне аудитора, в котором используется квитанция, выданная MST при регистрации полезной нагрузки. Дополнительные сведения см. в прозрачных заявлениях и квитанциях и доказательствах включения.
Необходимые условия
- Доступ к интернету для работы с обозревателем реестра MST
- Знакомство с концепциями прозрачности подписывания
- (Необязательно) Python с служебными программами CCF, установленными для ручной проверки
Откройте обозреватель реестра MST
Автономный обозреватель реестра MST — это веб-интерфейс для взаимодействия с реестром MST и проверки прозрачности артефактов программного обеспечения. Он доступен по https://aka.ms/ledgerexplorerадресу .
Note
Обозреватель реестра также открытый код. Его можно запустить локально из исходного кода эксплорера scitt-ccf-ledger, чтобы независимо проверять подписи, не полагаясь на экземпляр, размещенный Microsoft.
Note
Кроме того, можно вручную скачать файлы реестра и использовать скрипты CCF для проверки. Дополнительные сведения см. в разделе 2. Скачивание вручную и скрипты CCF.
Вариант 1: Проверьте полезную нагрузку MAA с помощью обозревателя реестра
В этом примере демонстрируется проверка с помощью полезных данных Microsoft Аттестация Azure (MAA). Тот же процесс применяется к другим службам с различными идентификаторами.
Шаг 1. Открытие обозревателя реестра
- Перейдите по адресу https://aka.ms/ledgerexplorer.
- Перейдите на страницу "Файлы ".
- Если файлы уже присутствуют, перейдите в раздел "Конфигурация" и выберите "Очистить все данные".
Шаг 2. Импорт данных реестра
Выберите "Добавить файлы" и перейдите на вкладку "Прозрачность подписывания Microsoft".
Введите доменное имя реестра MST:
- Центр обработки данных США:
esrp-cts-cp.confidential-ledger.azure.com - Европейский центр обработки данных:
esrp-cts-db.confidential-ledger.azure.com
Note
Эти два центра обработки данных являются разными реестрами; Данные не перекрываются между ними.
- Центр обработки данных США:
Выберите Импортировать.
Выберите последний файл, чтобы скачать все файлы реестра вплоть до выбранного файла.
Шаг 3. Проверка целостности реестра
- Откройте страницу проверки реестра .
- Нажмите кнопку "Пуск проверки".
- Обозреватель анализирует записи и проверяет целостность данных.
- Дождитесь завершения процесса проверки.
Шаг 4: Найдите полезную нагрузку
- Откройте страницу "Таблицы ".
- Выберите public:scitt.entry в области навигации.
- Используйте бесплатный текстовый фильтр для поиска идентификатора службы, которую требуется проверить. Список идентификаторов служб см. в разделе " Идентификаторы служб" для поддерживаемых служб.
- Инструмент фильтрует и отображает все материалы, соответствующие вашему идентификатору.
Шаг 5: Просмотрите сведения о полезной нагрузке
- Выберите запись для просмотра сведений.
- Изучите содержимое полезной нагрузки, в том числе:
- Метаданные события подписывания
- Контрассигнатура
- Доказательство включения в дерево Меркла
- Убедитесь, что запись не была изменена.
Дополнительные сведения
Обозреватель реестра предоставляет доступ к дополнительным таблицам для более глубокого изучения:
- public:ccf.gov.scitt.configuration: просмотр политик принятия.
- public:ccf.gov.proposals: см. действия оператора.
- public:ccf.gov.members.info: Проверять личности участников.
- public:ccf.gov.nodes.info: просмотр сведений о узле.
Вариант 2. Скачивание вручную и скрипты CCF
Для расширенных пользователей или автоматической проверки можно вручную скачать файлы реестра и использовать скрипты CCF.
Необходимые условия
- Python установлен в системе
- Установленная библиотека аудита CCF Python
Шаг 1. Установка служебных программ CCF
Следуйте документации в библиотеке аудита CCF Python, чтобы установить необходимые средства.
Шаг 2. Скачивание файлов реестра
Создайте URL-адрес, добавив
ledger-files-его в домен реестра:- Пример:
ledger-files-esrp-cts-cp.confidential-ledger.azure.com
- Пример:
Скачайте файлы по одному из каталога
ledgerна ваш локальный компьютер.
Note
Скрипт автоматической загрузки не предоставляется. Вы должны написать собственный скрипт, если вам нужно скачать файлы массово.
Шаг 3. Проверка целостности реестра
Выполните следующую команду, чтобы проверить целостность реестра:
read_ledger.py /path/to/ledger/dir
Средство подтверждает завершение проверки реестра.
Шаг 4. Анализ и поиск записей
Используйте средства CCF для анализа реестра и поиска определенных записей с помощью EKU или идентификаторов субъекта, относящихся к вашей службе. Список идентификаторов служб см. в разделе " Идентификаторы служб" для поддерживаемых служб.
Общие сведения о результатах проверки
Успешная проверка подтверждает, что:
- Подпись записывается в неизменяемом реестре.
- Запись не подвергалась несанкционированным изменениям с момента её записи.
- Криптографическое доказательство включения действительно.
- Событие подписывания следует политике доверия службы.
Если возникли проблемы, ознакомьтесь с разделом "Устранение неполадок" реестра прозрачности подписывания Microsoft.
Дальнейшие действия
- Узнайте о концепциях прозрачности подписывания
- Использование: полезная нагрузка, утверждения и аудит
- О реестре прозрачности подписывания Microsoft
- Изучение конфиденциального реестра Azure
- Подключитесь непосредственно к MST с помощью клиентских средств SCITT — извлеките записи и квитанции, проверьте квитанции и вызовите общедоступный API MST напрямую.