Azure Attestation EAT-profiel voor Intel® Trust Domain Extensions (TDX)
Dit profiel bevat claims voor een Attestation-attestation-resultaat (Intel® Trust Domain Extensions) dat is gegenereerd als een Entity Attestation Token (EAT) door Azure Attestation.
Het profiel bevat claims van de IETF JWT-specificatie , de EAT)-specificatie, de TDX-specificatie van Intel en microsoft-specifieke claims.
JWT-claims
De volledige definities van de volgende claims zijn beschikbaar in de JWT-specificatie.
iat - De "iat " (uitgegeven op) claim identificeert het tijdstip waarop de JWT is uitgegeven.
exp - De "exp" (verlooptijd) claim identificeert de verlooptijd op of waarna de JWT MAG NIET worden geaccepteerd voor verwerking.
iss - De claim 'iss' (issuer) identificeert de principal die de JWT heeft uitgegeven.
jti - De claim 'jti' (JWT ID) biedt een unieke id voor de JWT.
nbf - De claim "nbf" (niet vóór) identificeert de tijd waarna de JWT NIET mag worden geaccepteerd voor verwerking.
EAT claims
De volledige definities van de volgende claims zijn beschikbaar in de EAT-specificatie.
eat_profile - De claim 'eat_profile' identificeert een EAT-profiel door een URL of een OID.
dbgstat - De claim 'dbgstat ' is van toepassing op entiteitsbrede of submodulebrede foutopsporingsfaciliteiten van de entiteit, zoals [JTAG] en diagnostische hardware die is ingebouwd in chips.
intuse - De "intuse"-claim geeft een indicatie aan een EAT-consument over het beoogde gebruik van het token.
TDX-claims
De volledige definities van de claims zijn beschikbaar in de sectie A.3.2 TD Quote Body of Intel® TDX DCAP Quoting Library API-specificatie .
tdx_mrsignerseam - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die de meting van de ondertekenaar van de TDX-module bevat.
tdx_mrseam - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die de meting van de Intel TDX-module bevat.
tdx_mrtd - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die de meting van de initiële inhoud van de TDX bevat.
tdx_rtmr0 - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die het uitbreidbare meetregister van runtime bevat.
tdx_rtmr1 - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die het uitbreidbare meetregister van runtime bevat.
tdx_rtmr2 - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die het uitbreidbare meetregister van runtime bevat.
tdx_rtmr3 - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die het uitbreidbare meetregister van runtime bevat.
tdx_mrconfigid - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die de door software gedefinieerde id bevat voor niet-eigenaar gedefinieerde configuratie van de TDX, bijvoorbeeld runtime- of besturingssysteemconfiguratie (OS).
tdx_mrowner - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt met de door software gedefinieerde id voor de eigenaar van de TDX.
tdx_mrownerconfig - Een hexadecimale tekenreeks van 96 tekens die een bytematrix van lengte 48 vertegenwoordigt die de door de software gedefinieerde id bevat voor door de eigenaar gedefinieerde configuratie van de TDX, bijvoorbeeld specifiek voor de werkbelasting in plaats van de runtime of het besturingssysteem.
tdx_report_data - Een hexadecimale tekenreeks van 128 tekens die een bytematrix van lengte 64 vertegenwoordigt. In deze context heeft de TDX de flexibiliteit om 64 bytes aan aangepaste gegevens in een TDX-rapport op te nemen. Deze ruimte kan bijvoorbeeld worden gebruikt voor het opslaan van een nonce, een openbare sleutel of een hash van een groter gegevensblok.
tdx_seam_attributes - Een hexadecimale tekenreeks van 16 tekens die een bytematrix van lengte 8 vertegenwoordigt die aanvullende configuratie van de TDX-module bevat.
tdx_tee_tcb_svn - Een hexadecimale tekenreeks van 32 tekens die een bytematrix van lengte 16 vertegenwoordigt die de BEVEILIGINGSversienummers (TCB) van TDX (Trusted Computing Base) beschrijft.
tdx_xfam - Een hexadecimale tekenreeks van 16 tekens die een bytematrix van lengte 8 vertegenwoordigt met een masker van uitgebreide CPU-functies die de TDX mag gebruiken.
tdx_seamsvn - Een getal dat de INTEL TDX-module SVN vertegenwoordigt. De volledige definitie van de claim is beschikbaar in sectie 3.1 SEAM_SIGSTRUCT: INTEL® TDX MODULE SIGNATURE STRUCTURE of Intel® TDX Loader Interface Specification
tdx_td_attributes - Een hexadecimale tekenreeks van 16 tekens die een bytematrix van lengte 8 vertegenwoordigt. Dit zijn de kenmerken die zijn gekoppeld aan het Vertrouwensdomein (TD). De volledige definities van de hieronder genoemde claims zijn beschikbaar in de sectie A.3.4. TD-kenmerken van Intel® TDX DCAP Quoting Library API-specificatie .
tdx_td_attributes_debug - Een Booleaanse waarde die aangeeft of de TD wordt uitgevoerd in de TD-foutopsporingsmodus (ingesteld op 1) of niet (ingesteld op 0). In de TD-foutopsporingsmodus zijn de CPU-status en het privégeheugen toegankelijk voor de host-VMM.
tdx_td_attributes_key_locker - Een Booleaanse waarde die aangeeft of de TD Key Locker mag gebruiken.
tdx_td_attributes_perfmon - Een Booleaanse waarde die aangeeft of de TD perfmon en PERF_METRICS mogelijkheden mag gebruiken.
tdx_td_attributes_protection_keys: een Booleaanse waarde die aangeeft of de TD beveiligingssleutels van supervisor mag gebruiken.
tdx_td_attributes_septve_disable - Een Booleaanse waarde die bepaalt of de conversie van EPT-schendingen naar #VE moet worden uitgeschakeld op TD-toegang tot pagina's die in behandeling zijn.
Attester-claims
attester_tcb_status: een tekenreekswaarde die de status van het TCB-niveau vertegenwoordigt van het platform dat wordt geëvalueerd. Zie tcbStatus in de Ontwikkelaarsportal van Intel® Trusted Services API Management.
Microsoft-specifieke claims
x-ms-attestation-type : een tekenreekswaarde die het attestation-type vertegenwoordigt.
x-ms-policy-hash - Hash van azure Attestation-evaluatiebeleid berekend als BASE64URL(SHA256(UTF8(BASE64URL(UTF8(beleidstekst))))).
x-ms-runtime - JSON-object met 'claims' die zijn gedefinieerd en gegenereerd in de geteste omgeving. Dit is een specialisatie van het concept 'enclave-gegevens' waarbij de 'enclave-gegevens' specifiek is opgemaakt als een UTF-8-codering van goed gevormde JSON.
x-ms-ver - JWT-schemaversie (verwacht '1.0') }