Udostępnij za pośrednictwem

Profil zaświadczania USŁUGI EAT platformy Azure dla rozszerzeń domeny zaufania firmy Intel® (TDX)

  • Artykuł

Ten profil zawiera opis oświadczeń dla ® wyniku zaświadczania intel trust domain extensions (TDX) wygenerowanego jako token zaświadczania jednostek (EAT) przez zaświadczenie platformy Azure.

Profil zawiera oświadczenia ze specyfikacji JWT IETF, specyfikacji EAT), specyfikacji TDX firmy Intel i oświadczeń specyficznych dla firmy Microsoft.

Oświadczenia JWT

Pełne definicje następujących oświadczeń są dostępne w specyfikacji JWT.

iat — oświadczenie "iat" (wydane pod adresem) identyfikuje czas wydania JWT.

exp — oświadczenie "exp" (czas wygaśnięcia) identyfikuje czas wygaśnięcia w dniu lub po upływie którego JWT NIE MOŻE zostać zaakceptowane do przetwarzania.

iss — oświadczenie "iss" (wystawca) identyfikuje podmiot zabezpieczeń, który wystawił JWT.

jti — oświadczenie "jti" (JWT ID) udostępnia unikatowy identyfikator dla zestawu JWT.

nbf — oświadczenie "nbf" (nie wcześniej) identyfikuje czas, przed którym JWT NIE MOŻE zostać zaakceptowany do przetwarzania.

Oświadczenia EAT

Pełne definicje następujących oświadczeń są dostępne w specyfikacji EAT.

eat_profile — oświadczenie "eat_profile" identyfikuje profil EAT za pomocą adresu URL lub identyfikatora OID.

dbgstat — oświadczenie "dbgstat" dotyczy obiektów debugowania obejmujących całą jednostkę lub podmodule jednostki, takich jak [JTAG] i sprzęt diagnostyczny wbudowany w mikroukłady.

intuse — oświadczenie "intuse" zawiera wskazanie dla konsumenta EAT o zamierzonym użyciu tokenu.

Oświadczenia TDX

Pełne definicje oświadczeń są dostępne w sekcji A.3.2 TD Quote Body of Intel® TDX DCAP Quoting Library API specification (Specyfikacja interfejsu API biblioteki cudzysłowu Intel TDX).

tdx_mrsignerseam — 96-znakowy ciąg szesnastkowy, który reprezentuje tablicę bajtów długości 48 zawierającą pomiar podpisywania modułu TDX.

tdx_mrseam — 96-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów długości 48 zawierającą pomiar modułu Intel TDX.

tdx_mrtd — 96-znakowy ciąg szesnastkowy, który reprezentuje tablicę bajtów długości 48 zawierającą pomiar początkowej zawartości TDX.

tdx_rtmr0 — 96-znakowy ciąg szesnastkowy, który reprezentuje tablicę bajtów o długości 48 zawierającej rejestr miary z możliwością rozszerzenia w czasie wykonywania.

tdx_rtmr1 — 96-znakowy ciąg szesnastkowy, który reprezentuje tablicę bajtów o długości 48 zawierającej rejestr miar rozszerzalnych w czasie wykonywania.

tdx_rtmr2 — 96-znakowy ciąg szesnastkowy, który reprezentuje tablicę bajtów o długości 48 zawierającej rejestr miar rozszerzalnych w czasie wykonywania.

tdx_rtmr3 — 96-znakowy ciąg szesnastkowy, który reprezentuje tablicę bajtów o długości 48 zawierającą rejestr miar rozszerzalnych w czasie wykonywania.

tdx_mrconfigid — 96-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów o długości 48 zawierającej identyfikator zdefiniowany programowo dla konfiguracji TDX, np. środowiska uruchomieniowego lub konfiguracji systemu operacyjnego (OS).

tdx_mrowner — 96-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów o długości 48 zawierającej identyfikator zdefiniowany programowo właściciela TDX.

tdx_mrownerconfig — 96-znakowy ciąg szesnastkowy, który reprezentuje tablicę bajtów o długości 48 zawierającej identyfikator zdefiniowany programowo dla konfiguracji zdefiniowanej przez właściciela TDX, np. specyficznej dla obciążenia, a nie środowiska uruchomieniowego lub systemu operacyjnego.

tdx_report_data — 128-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów o długości 64. W tym kontekście TDX zapewnia elastyczność uwzględnienia 64 bajtów danych niestandardowych w raporcie TDX. Na przykład to miejsce może służyć do przechowywania wartości innej niż, klucza publicznego lub skrótu większego bloku danych.

tdx_seam_attributes — 16-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów o długości 8 zawierającej dodatkową konfigurację modułu TDX.

tdx_tee_tcb_svn — 32-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów o długości 16 opisującą numery wersji zabezpieczeń bazy zaufanego obliczeniowego (TCB) TDX.

tdx_xfam — 16-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów o długości 8 zawierającą maskę rozszerzonych funkcji procesora CPU, z których może korzystać TDX.

tdx_seamsvn — liczba reprezentująca moduł SVN modułu Intel TDX. Pełna definicja oświadczenia jest dostępna w sekcji 3.1 SEAM_SIGSTRUCT: INTEL TDX MODULE SIGNATURE STRUCTURE of Intel®® TDX Loader Interface Specification

tdx_td_attributes — 16-znakowy ciąg szesnastkowy reprezentujący tablicę bajtów o długości 8. Są to atrybuty skojarzone z domeną zaufania (TD). Pełne definicje oświadczeń wymienionych poniżej są dostępne w sekcji A.3.4. Atrybuty TDX specyfikacji interfejsu ® API biblioteki cudzysłów Intel TDX.

tdx_td_attributes_debug — wartość logiczna wskazująca, czy TD działa w trybie debugowania TD (ustawionym na 1) lub nie (ustawiono wartość 0). W trybie debugowania TD stan procesora CPU i pamięć prywatna są dostępne dla hosta programu VMM.

tdx_td_attributes_key_locker — wartość logiczna wskazująca, czy TD może używać funkcji Key Locker.

tdx_td_attributes_perfmon — wartość logiczna wskazująca, czy TD może używać funkcji Perfmon i PERF_METRICS.

tdx_td_attributes_protection_keys — wartość logiczna wskazująca, czy TD może używać kluczy ochrony nadzorcy.

tdx_td_attributes_septve_disable — wartość logiczna określająca, czy wyłączyć konwersję naruszenia protokołu EPT na #VE na dostęp do oczekujących stron TD.

Oświadczenia attester

attester_tcb_status — wartość ciągu reprezentująca stan poziomu TCB ocenianej platformy. Zobacz tcbStatus w portalu dla deweloperów usługi API Management usługi Intel® Trusted Services.

Oświadczenia specyficzne dla firmy Microsoft

x-ms-attestation-type — wartość ciągu reprezentująca typ zaświadczania.

x-ms-policy-hash — skrót zasad oceny zaświadczania platformy Azure obliczonych jako BASE64URL(SHA256(UTF8(BASE64URL(UTF8(tekst zasad))))).

x-ms-runtime — obiekt JSON zawierający "oświadczenia", które są zdefiniowane i generowane w środowisku testowanym. Jest to specjalizacja koncepcji "enklawy przechowywane dane", gdzie "enklawa przechowywanych danych" jest specjalnie sformatowana jako kodowanie UTF-8 dobrze sformułowanego kodu JSON.

x-ms-ver — wersja schematu JWT (oczekiwana wartość to "1.0") }