Profil EAT ověření identity Azure pro rozšíření Intel® Trust Domain Extensions (TDX)
Tento profil popisuje deklarace identity pro ověření identity intel® Trust Domain Extensions (TDX) vygenerovaný jako token ověření identity entity (EAT) ověření identity Azure.
Tento profil zahrnuje deklarace identity ze specifikace IETF JWT , specifikace EAT), specifikace TDX společnosti Intel a konkrétních deklarací identity microsoftu.
Deklarace identity JWT
Kompletní definice následujících deklarací identity jsou k dispozici ve specifikaci JWT.
iat - "iat" (vydaný v) deklarace identity identifikuje čas vydání JWT.
exp - Deklarace "exp" (doba vypršení platnosti) identifikuje dobu vypršení platnosti, po které JWT NESMÍ být přijat ke zpracování.
iss – deklarace identity iss (issuer) identifikuje objekt zabezpečení, který vydal JWT.
jti - Deklarace jti (JWT ID) poskytuje jedinečný identifikátor JWT.
nbf - "nbf" (ne dříve) tvrzení určuje čas, před kterým nesmí být JWT přijat ke zpracování.
Deklarace identity EAT
Kompletní definice následujících deklarací identity jsou k dispozici ve specifikaci EAT.
eat_profile – Deklarace identity "eat_profile" identifikuje profil EAT buď adresou URL, nebo identifikátorem OID.
dbgstat – deklarace identity dbgstat se vztahuje na zařízení ladění pro celou entitu nebo dílčí moduly entity, jako je [JTAG] a diagnostický hardware integrovaný do čipů.
intuse - Deklarace "intuse" poskytuje označení pro příjemce EAT o zamýšleném použití tokenu.
Deklarace identity TDX
Úplné definice deklarací identity jsou k dispozici v části A.3.2 TD Quote Body specifikace Intel® TDX DCAP Quoting Library API .
tdx_mrsignerseam – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující měření podepisujícího modulu TDX.
tdx_mrseam – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující měření modulu Intel TDX.
tdx_mrtd – šestnáctkový řetězec o délce 96 znaků, který představuje bajtovou matici o délce 48 obsahující měření počátečního obsahu TDX.
tdx_rtmr0 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.
tdx_rtmr1 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.
tdx_rtmr2 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.
tdx_rtmr3 – šestnáctkový řetězec 96 znaků, který představuje bajtovou matici délky 48 obsahující rozšiřitelný měrný registr modulu runtime.
tdx_mrconfigid – šestnáctkový řetězec 96 znaků, který představuje bajtové pole s délkou 48 obsahující softwarově definované ID pro konfiguraci TDX bez vlastníka, například konfiguraci modulu runtime nebo operačního systému (OS).
tdx_mrowner – šestnáctkový řetězec 96 znaků, který představuje bajtové pole délky 48 obsahující softwarově definované ID vlastníka TDX.
tdx_mrownerconfig – šestnáctkový řetězec 96 znaků, který představuje pole bajtů s délkou 48 obsahující softwarově definované ID pro konfiguraci TDX definovanou vlastníkem, například specifické pro úlohu místo modulu runtime nebo operačního systému.
tdx_report_data – šestnáctkový řetězec o délce 128 znaků, který představuje bajtovou matici o délce 64. V tomto kontextu má TDX flexibilitu zahrnout do sestavy TDX 64 bajtů vlastních dat. Tento prostor lze například použít k uložení nece, veřejného klíče nebo hodnoty hash většího bloku dat.
tdx_seam_attributes – šestnáctkový řetězec 16 znaků, který představuje bajtové pole délky 8 obsahující další konfiguraci modulu TDX.
tdx_tee_tcb_svn – šestnáctkový řetězec 32 znaků, který představuje bajtové pole s délkou 16 popisující čísla zabezpečení TDX (Trusted Computing Base) (TCB).
tdx_xfam – šestnáctkový řetězec 16 znaků, který představuje bajtové pole o délce 8 obsahující masku funkcí rozšířených procesorem, které může TDX používat.
tdx_seamsvn – číslo, které představuje modul Intel TDX SVN. Úplná definice deklarace identity je k dispozici v části 3.1 SEAM_SIGSTRUCT: INTEL® TDX MODULE SIGNATURE STRUCTURE of Intel® TDX Loader Interface Specification
tdx_td_attributes – šestnáctkový řetězec 16 znaků, který představuje bajtovou matici s délkou 8. Jedná se o atributy přidružené k doméně důvěryhodnosti (TD). Úplné definice deklarací identity uvedené níže jsou k dispozici v části A.3.4. TD Attributes of Intel® TDX DCAP Quoting Library API specification.
tdx_td_attributes_debug – logická hodnota, která označuje, jestli se TD spouští v režimu ladění TD (nastaveno na 1) nebo ne (nastaveno na 0). V režimu ladění TD jsou stav procesoru a privátní paměť přístupné nástrojem VMM hostitele.
tdx_td_attributes_key_locker – logická hodnota, která označuje, jestli má TD povoleno používat Key Locker.
tdx_td_attributes_perfmon – logická hodnota, která označuje, jestli je možné použít funkci Perfmon a PERF_METRICS.
tdx_td_attributes_protection_keys – logická hodnota, která označuje, jestli je TD povolené používat klíče ochrany správce.
tdx_td_attributes_septve_disable – logická hodnota, která určuje, jestli se má zakázat převod porušení EPT na #VE na přístup TD na čekajících stránkách.
Deklarace identity attesteru
attester_tcb_status – řetězcová hodnota, která představuje stav úrovně TCB platformy, která se vyhodnocuje. Viz tcbStatus na portálu pro vývojáře rozhraní API Management důvěryhodných služeb Intel®.
Specifické deklarace identity Microsoftu
x-ms-attestation-type – řetězcová hodnota, která představuje typ ověření identity.
x-ms-policy-hash – hodnota hash zásad vyhodnocení ověření identity Azure vypočítaná jako BASE64URL(SHA256(UTF8(BASE64URL(UTF8(text zásady)))))
x-ms-runtime – objekt JSON obsahující deklarace identity, které jsou definovány a generovány v rámci ověřeného prostředí. Toto je specializace konceptu "enkláva uchována data", kde "enkláva uložená data" je speciálně formátována jako kódování UTF-8 dobře formátovaného JSON.
x-ms-ver – verze schématu JWT (očekává se, že bude "1.0") }