Azure Confidential Ledger-knooppunten verifiëren

Codevoorbeelden en gebruikers kunnen Azure Confidential Ledger-knooppunten verifiëren.

Codevoorbeelden

Bij het initialiseren worden met codevoorbeelden het knooppuntcertificaat opgehaald door een query uit te voeren op de Identity Service. Het codevoorbeeld haalt het knooppuntcertificaat op voordat een query op het grootboek wordt uitgevoerd om een offerte op te halen. Deze wordt vervolgens gevalideerd met behulp van de binaire hostverificatiebestanden. Als de verificatie slaagt, wordt het codevoorbeeld uitgevoerd op grootboekbewerkingen.

Gebruikers

Gebruikers kunnen de echtheid van Azure Confidential Ledger-knooppunten valideren om te bevestigen dat ze inderdaad met de enclave van hun grootboek werken. U kunt vertrouwen bouwen in Azure Confidential Ledger-knooppunten op een aantal manieren, die op elkaar kunnen worden gestapeld om het algehele vertrouwensniveau te verhogen. Als zodanig zijn stap 1 en 2 belangrijke mechanismen voor het opbouwen van vertrouwen voor gebruikers van Azure Confidential Ledger enclave als onderdeel van de eerste TLS-handshake en verificatie binnen functionele werkstromen. Bovendien wordt er een permanente clientverbinding onderhouden tussen de client van de gebruiker en het vertrouwelijke grootboek.

1. Valideren van een vertrouwelijk grootboekknooppunt: een vertrouwelijk grootboekknooppunt wordt gevalideerd door een query uit te voeren op de identiteitsservice die wordt gehost door Microsoft. Dit biedt een servicecertificaat en helpt zo te verifiëren dat het grootboekknooppunt een certificaat presenteert dat is goedgekeurd/ondertekend door het servicecertificaat voor dat specifieke exemplaar. Een bekende certificeringsinstantie (CA) of tussenliggende CA ondertekent het certificaat van een server met behulp van HTTPS op basis van PKI. In het geval van Azure Confidential Ledger wordt het CA-certificaat geretourneerd door de Identity Service in de vorm van het servicecertificaat. Als dit knooppuntcertificaat niet is ondertekend door het geretourneerde servicecertificaat, mislukt de clientverbinding (zoals geïmplementeerd in de voorbeeldcode).

2. Een vertrouwelijke grootboek-enclave valideren: een vertrouwelijk grootboek wordt uitgevoerd in een Intel® SGX-enclave die wordt vertegenwoordigd door een extern attestation-rapport (of offerte), een gegevensblob die in die enclave wordt gegenereerd. Het kan door elke andere entiteit worden gebruikt om te controleren of de offerte is geproduceerd vanuit een toepassing die wordt uitgevoerd met Intel® SGX-beveiligingen. De offerte bevat claims die helpen bij het identificeren van verschillende eigenschappen van de enclave en de toepassing die wordt uitgevoerd. Het bevat met name de SHA-256-hash van de openbare sleutel in het certificaat van het vertrouwelijke grootboekknooppunt. Het citaat van een vertrouwelijk grootboekknooppunt kan worden opgehaald door een functionele werkstroom-API aan te roepen.

Volgende stappen

• Overzicht van het vertrouwelijke grootboek van Microsoft Azure
• Azure Confidential Ledger-architectuur