Intel® Güven Etki Alanı Uzantıları (TDX) için Azure Doğrulama EAT profili
Bu profil, Azure Doğrulama tarafından Varlık Kanıtlama Belirteci (EAT) olarak oluşturulan Intel® Trust Etki Alanı Uzantıları (TDX) kanıtlama sonucuna yönelik talepleri özetler.
Profil IETF JWT belirtimi, EAT) belirtimi, Intel'in TDX belirtimi ve Microsoft'a özgü talepleri içerir.
JWT talepleri
Aşağıdaki taleplerin tam tanımları JWT belirtiminde mevcuttur.
iat - "iat" (verilen) talebi, JWT'nin verildiği zamanı tanımlar.
exp - "exp" (süre sonu) talebi, JWT'nin işlenmek üzere kabul edilmediği veya sonra kabul edilmediği süre sonunu tanımlar.
iss - "iss" (veren) talebi, JWT'yi veren sorumluyu tanımlar.
jti - "jti" (JWT ID) talebi, JWT için benzersiz bir tanımlayıcı sağlar.
nbf - "nbf " (daha önce değil) talebi, JWT'nin işlenmek üzere kabul edilmediği zamanı tanımlar.
EAT talepleri
Aşağıdaki taleplerin tam tanımları EAT belirtiminde mevcuttur.
eat_profile - "eat_profile" talebi BIR EAT profilini URL veya OID ile tanımlar.
dbgstat - "dbgstat" talebi, varlığın [JTAG] ve yongalara yerleşik tanılama donanımı gibi varlık genelinde veya alt modül genelinde hata ayıklama özellikleri için geçerlidir.
intuse - "intuse" talebi, EAT tüketicisine belirtecin hedeflenen kullanımı hakkında bir gösterge sağlar.
TDX talepleri
Taleplerin tam tanımlarına Intel® TDX DCAP Alıntı Kitaplığı API'sinin A.3.2 TD Alıntı Gövdesi belirtimi bölümünden ulaşabilirsiniz.
tdx_mrsignerseam - TDX modül imzalayıcısının ölçümünü içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_mrseam - Intel TDX modülünün ölçümünü içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_mrtd - TDX'in ilk içeriğinin ölçüldüğünü içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_rtmr0 - Çalışma zamanı genişletilebilir ölçüm kaydını içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_rtmr1 - Çalışma zamanı genişletilebilir ölçüm yazmacı içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_rtmr2 - Çalışma zamanı genişletilebilir ölçüm yazmacı içeren 48 uzunluğundaki bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_rtmr3 - Çalışma zamanı genişletilebilir ölçüm kaydını içeren 48 uzunluğundaki bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_mrconfigid - TDX'in sahip tanımlı olmayan yapılandırması için yazılım tanımlı kimliği (örneğin, çalışma zamanı veya İşletim Sistemi (OS) yapılandırması) içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_mrowner - TDX sahibi için yazılım tanımlı kimliği içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_mrownerconfig - TDX'in sahip tanımlı yapılandırması için yazılım tanımlı kimliği (örneğin çalışma zamanı veya işletim sistemi yerine iş yüküne özgü) içeren 48 uzunluğunda bir bayt dizisini temsil eden 96 karakterlik onaltılık dize.
tdx_report_data - Uzunluğu 64 olan bayt dizisini temsil eden 128 karakterlik onaltılık dize. Bu bağlamda TDX, TDX Raporu'na 64 bayt özel veri ekleme esnekliğine sahiptir. Örneğin, bu alan bir nonce, ortak anahtar veya daha büyük bir veri bloğunun karması tutmak için kullanılabilir.
tdx_seam_attributes - TDX modülünün ek yapılandırmasını içeren 8 baytlık bir bayt dizisini temsil eden 16 karakterlik onaltılık dize.
tdx_tee_tcb_svn - TDX'in Güvenilen Bilgi İşlem Tabanı (TCB) Güvenlik Sürüm Numaralarını (SVN) açıklayan 16 baytlık bir bayt dizisini temsil eden 32 karakterlik onaltılık dize.
tdx_xfam - TDX'in kullanmasına izin verilen CPU genişletilmiş özellikleri maskesini içeren 8 uzunluğunda bir bayt dizisini temsil eden 16 karakterlik onaltılık dize.
tdx_seamsvn - Intel TDX modülü SVN'sini temsil eden bir sayıdır. Talebin tam tanımı 3.1 SEAM_SIGSTRUCT bölümünde mevcuttur: Intel® TDX Yükleyici Arabirim Belirtimi'nin INTEL® TDX MODULE SIGNATURE STRUCTURE
tdx_td_attributes - Uzunluğu 8 olan bayt dizisini temsil eden 16 karakterlik onaltılık dize. Bunlar, Güven Etki Alanı (TD) ile ilişkilendirilmiş özniteliklerdir. Aşağıda belirtilen taleplerin tam tanımlarına A.3.4 bölümünden ulaşabilirsiniz. Intel® TDX DCAP Alıntı Kitaplığı API belirtiminin TD Öznitelikleri.
tdx_td_attributes_debug - TD'nin TD hata ayıklama modunda çalışıp çalışmadığını (1 olarak ayarlanıp ayarlanmadığını) belirten boole değeri (0 olarak ayarlanır). TD hata ayıklama modunda CPU durumuna ve özel belleğe konak VMM tarafından erişilebilir.
tdx_td_attributes_key_locker - TD'nin Anahtar Dolabı'nı kullanmasına izin verilip verilmediğini gösteren boole değeri.
tdx_td_attributes_perfmon - TD'nin Perfmon ve PERF_METRICS özelliklerini kullanmasına izin verilip verilmediğini gösteren boole değeri.
tdx_td_attributes_protection_keys - TD'nin Gözetmen Koruma Anahtarlarını kullanmasına izin verilip verilmediğini gösteren boole değeri.
tdx_td_attributes_septve_disable - BEKLEYEN sayfaların TD erişiminde #VE EPT ihlali dönüştürmenin devre dışı bırakılıp devre dışı bırakılmayacağını belirleyen boole değeri.
Attester talepleri
attester_tcb_status - Değerlendirilen platformun TCB düzeyi durumunu temsil eden dize değeri. Bkz. Intel® Trusted Services API Management Geliştirici Portalı'nda tcbStatus.
Microsoft'a özgü talepler
x-ms-attestation-type - Kanıtlama türünü temsil eden dize değeri.
x-ms-policy-hash - BASE64URL (SHA256(UTF8(BASE64URL(UTF8(ilke metni)) olarak hesaplanan Azure Doğrulama değerlendirme ilkesinin karması.
x-ms-runtime - Test edilen ortamda tanımlanan ve oluşturulan "talepleri" içeren JSON nesnesi. Bu, "kapanımda tutulan veriler" kavramının özel olarak iyi biçimlendirilmiş JSON'un UTF-8 kodlaması olarak biçimlendirildiği bir uzmanlık alanıdır.
x-ms-ver - JWT şema sürümü ("1.0" olması bekleniyor") }
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin