Profil EAT ověření identity Azure pro rozšíření Intel® Trust Domain Extensions (TDX)

Tento profil popisuje deklarace identity pro ověření identity intel® Trust Domain Extensions (TDX) vygenerovaný jako token ověření identity entity (EAT) ověření identity Azure.

Tento profil zahrnuje deklarace identity ze specifikace IETF JWT , specifikace EAT), specifikace TDX společnosti Intel a konkrétních deklarací identity microsoftu.

Deklarace identity JWT

Kompletní definice následujících deklarací identity jsou k dispozici ve specifikaci JWT.

iat - "iat" (vydaný v) deklarace identity identifikuje čas vydání JWT.

exp - Deklarace "exp" (doba vypršení platnosti) identifikuje dobu vypršení platnosti, po které JWT NESMÍ být přijat ke zpracování.

iss – deklarace identity iss (issuer) identifikuje objekt zabezpečení, který vydal JWT.

jti - Deklarace jti (JWT ID) poskytuje jedinečný identifikátor JWT.

nbf - "nbf" (ne dříve) tvrzení určuje čas, před kterým nesmí být JWT přijat ke zpracování.

Deklarace identity EAT

Kompletní definice následujících deklarací identity jsou k dispozici ve specifikaci EAT.

eat_profile – Deklarace identity "eat_profile" identifikuje profil EAT buď adresou URL, nebo identifikátorem OID.

dbgstat – deklarace identity dbgstat se vztahuje na zařízení ladění pro celou entitu nebo dílčí moduly entity, jako je [JTAG] a diagnostický hardware integrovaný do čipů.

intuse - Deklarace "intuse" poskytuje označení pro příjemce EAT o zamýšleném použití tokenu.

Deklarace identity TDX

Úplné definice deklarací identity jsou k dispozici v části A.3.2 TD Quote Body specifikace Intel® TDX DCAP Quoting Library API .

tdx_mrsignerseam – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující měření podepisujícího modulu TDX.

tdx_mrseam – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující měření modulu Intel TDX.

tdx_mrtd – šestnáctkový řetězec o délce 96 znaků, který představuje bajtovou matici o délce 48 obsahující měření počátečního obsahu TDX.

tdx_rtmr0 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.

tdx_rtmr1 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.

tdx_rtmr2 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.

tdx_rtmr3 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.

tdx_mrconfigid – šestnáctkový řetězec 96 znaků, který představuje bajtové pole s délkou 48 obsahující softwarově definované ID pro konfiguraci TDX bez vlastníka, například konfiguraci modulu runtime nebo operačního systému (OS).

tdx_mrowner – šestnáctkový řetězec 96 znaků, který představuje bajtové pole délky 48 obsahující softwarově definované ID vlastníka TDX.

tdx_mrownerconfig – šestnáctkový řetězec 96 znaků, který představuje pole bajtů s délkou 48 obsahující softwarově definované ID pro konfiguraci TDX definovanou vlastníkem, například specifické pro úlohu místo modulu runtime nebo operačního systému.

tdx_report_data – šestnáctkový řetězec o délce 128 znaků, který představuje bajtovou matici o délce 64. V tomto kontextu má TDX flexibilitu zahrnout do sestavy TDX 64 bajtů vlastních dat. Tento prostor lze například použít k uložení nece, veřejného klíče nebo hodnoty hash většího bloku dat.

tdx_seam_attributes – šestnáctkový řetězec 16 znaků, který představuje bajtové pole délky 8 obsahující další konfiguraci modulu TDX.

tdx_tee_tcb_svn – šestnáctkový řetězec 32 znaků, který představuje bajtové pole s délkou 16 popisující čísla zabezpečení TDX (Trusted Computing Base) (TCB).

tdx_xfam – šestnáctkový řetězec 16 znaků, který představuje bajtové pole o délce 8 obsahující masku funkcí rozšířených procesorem, které může TDX používat.

tdx_seamsvn – číslo, které představuje modul Intel TDX SVN. Úplná definice deklarace identity je k dispozici v části 3.1 SEAM_SIGSTRUCT: INTEL® TDX MODULE SIGNATURE STRUCTURE of Intel® TDX Loader Interface Specification

tdx_td_attributes – šestnáctkový řetězec 16 znaků, který představuje bajtovou matici s délkou 8. Jedná se o atributy přidružené k doméně důvěryhodnosti (TD). Úplné definice deklarací identity uvedené níže jsou k dispozici v části A.3.4. TD Attributes of Intel® TDX DCAP Quoting Library API specification.

tdx_td_attributes_debug – logická hodnota, která označuje, jestli se TD spouští v režimu ladění TD (nastaveno na 1) nebo ne (nastaveno na 0). V režimu ladění TD jsou stav procesoru a privátní paměť přístupné nástrojem VMM hostitele.

tdx_td_attributes_key_locker – logická hodnota, která označuje, jestli má TD povoleno používat Key Locker.

tdx_td_attributes_perfmon – logická hodnota, která označuje, jestli je možné použít funkci Perfmon a PERF_METRICS.

tdx_td_attributes_protection_keys – logická hodnota, která označuje, jestli je TD povolené používat klíče ochrany správce.

tdx_td_attributes_septve_disable – logická hodnota, která určuje, jestli se má zakázat převod porušení EPT na #VE na přístup TD na čekajících stránkách.

Deklarace identity attesteru

attester_tcb_status – řetězcová hodnota, která představuje stav úrovně TCB platformy, která se vyhodnocuje. Viz tcbStatus na portálu pro vývojáře rozhraní API Management důvěryhodných služeb Intel®.

Specifické deklarace identity Microsoftu

x-ms-attestation-type – řetězcová hodnota, která představuje typ ověření identity.

x-ms-policy-hash – hodnota hash zásad vyhodnocení ověření identity Azure vypočítaná jako BASE64URL(SHA256(UTF8(BASE64URL(UTF8(text zásad)))))

x-ms-runtime – objekt JSON obsahující deklarace identity, které jsou definovány a generovány v rámci ověřeného prostředí. Toto je specializace konceptu "enkláva uchována data", kde "enkláva uložená data" je speciálně formátována jako kódování UTF-8 dobře formátovaného JSON.

x-ms-ver – verze schématu JWT (očekává se, že bude "1.0") }