Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um nó de razão confidencial do Azure é executado sobre um Ambiente de Execução Confiável (TEE), como o Intel SGX, que garante a confidencialidade dos dados durante o processo. A confiabilidade da plataforma e dos binários que funcionam dentro dela é garantida através de um processo de certificação remoto. Um livro-razão confidencial do Azure requer que um nó apresente uma cotação antes de ingressar na rede. Os dados do relatório de cotação contêm o hash criptográfico da chave pública de identidade do nó e o valor MRENCLAVE. O nó tem permissão para ingressar na rede se a cotação for considerada válida e o valor MRENCLAVE for um dos valores permitidos na governança auditável.
Pré-requisitos
- Ubuntu 20.04-LTS 64-bit
- Instalar o CCF ou o pacote CCF Python
- Instalar o Open Enclave Host-verify SDK
- Instalar jq
Verificar cotação do nó
Transferir a identidade do serviço
Ele é usado para verificar a identidade do nó ao qual o cliente está conectado e estabelecer um canal de comunicação seguro com ele. O comando a seguir baixa a identidade do serviço, formata-a e salva-a em service_cert.pem.
curl https://identity.confidential-ledger.core.azure.com/ledgerIdentity/<ledgername> --silent | jq '.ledgerTlsCertificate' | xargs echo -e > service_cert.pem
Verificar cotação
A cotação do nó pode ser baixada e verificada https://<ledgername>.confidential-ledger.azure.com usando a oeverify ferramenta que acompanha o Open Enclave SDK ou com o verify_quote.sh script. Ele é instalado com a instalação CCF ou o pacote CCF Python. Para obter detalhes completos sobre o script e os parâmetros suportados, consulte verify_quote.sh.
/opt/ccf_virtual/bin/verify_quote.sh https://<ledgername>.confidential-ledger.azure.com:443 --cacert service_cert.pem
O script verifica se o hash criptográfico da chave pública de identidade do nó (codificada pelo DER) corresponde aos dados do relatório SGX e se o valor MRENCLAVE presente na cotação é confiável. Uma lista de valores MRENCLAVE confiáveis na rede pode ser baixada do https://<ledgername>.confidential-ledger.azure.com/node/code ponto de extremidade. Um parâmetro opcional mrenclave pode ser fornecido para verificar se o nó está executando o código confiável. Se fornecido, o valor de mreclave na cotação deve corresponder exatamente a ele.