Compartilhar via

Perfil EAT do Atestado do Azure para Intel® TDX (Trust Domain Extensions)

  • Artigo

Este perfil descreve declarações para um resultado de atestado de TDX (Intel® Trust Domain Extensions) gerado como um EAT (Token de Atestado de Entidade) pelo Atestado do Azure.

O perfil inclui declarações da especificação JWT do IETF, da especificação EAT), da especificação TDX da Intel e das declarações específicas da Microsoft.

Declarações JWT

As definições completas das declarações a seguir estão disponíveis na especificação JWT.

iat – a declaração "iat" (emitido em) identifica o momento em que o JWT foi emitido.

exp – a declaração "exp" (tempo de expiração) identifica o tempo de expiração em ou após o qual o JWT NÃO DEVE ser aceito para processamento.

iss – a declaração "iss" (emissor) identifica a entidade de segurança que emitiu o JWT.

jti – a declaração "jti" (ID JWT) fornece um identificador exclusivo para o JWT.

nbf – a declaração "nbf" (não antes) identifica o tempo antes do qual o JWT NÃO DEVE ser aceito para processamento.

Declarações EAT

As definições completas das declarações a seguir estão disponíveis na especificação EAT.

eat_profile – a declaração "eat_profile" identifica um perfil EAT por uma URL ou uma OID.

dbgstat – a declaração "dbgstat" aplica-se a instalações de depuração em toda a entidade ou submódulo de toda a entidade, como [JTAG] e hardware de diagnóstico integrado a chips.

intuse – a declaração "intuse" fornece uma indicação a um consumidor EAT sobre o uso pretendido do token.

Declarações TDX

As definições completas das declarações estão disponíveis na seção A.3.2 TD Corpo da Cotação da especificação Intel® TDX DCAP Quoting Library API.

tdx_mrsignerseam – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém a medida do signatário do módulo TDX.

tdx_mrseam – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém a medida do módulo Intel TDX.

tdx_mrtd – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém a medida do conteúdo inicial do TDX.

tdx_rtmr0 – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém o registro de medida extensível de runtime.

tdx_rtmr1 – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém o registro de medida extensível de runtime.

tdx_rtmr2 – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém o registro de medida extensível de runtime.

tdx_rtmr3 – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém o registro de medida extensível de runtime.

tdx_mrconfigid – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 que contém a ID definida pelo software para a configuração não definida pelo proprietário da configuração do TDX, por exemplo, runtime ou sistema operacional (SO).

tdx_mrowner – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 contendo a ID definida pelo software para o proprietário do TDX.

tdx_mrownerconfig – uma cadeia de caracteres hexadecimal de 96 caracteres que representa uma matriz de bytes de comprimento 48 contendo a ID definida pelo software para a configuração definida pelo proprietário do TDX, por exemplo, específica da carga de trabalho em vez do runtime ou do sistema operacional.

tdx_report_data – uma cadeia de caracteres hexadecimal de 128 caracteres que representa uma matriz de bytes de comprimento 64. Nesse contexto, o TDX tem a flexibilidade de incluir 64 bytes de dados personalizados em um relatório TDX. Por exemplo, esse espaço pode ser usado para conter um nonce, uma chave pública ou um hash de um bloco maior de dados.

tdx_seam_attributes – uma cadeia de caracteres hexadecimal de 16 caracteres que representa uma matriz de bytes de comprimento 8 contendo configuração adicional do módulo TDX.

tdx_tee_tcb_svn – uma cadeia de caracteres hexadecimal de 32 caracteres que representa uma matriz de bytes de comprimento 16 que descreve os números de versão de segurança (SVNs) da base de computação confiável (TCB) do TDX.

tdx_xfam – uma cadeia de caracteres hexadecimal de 16 caracteres que representa uma matriz de bytes de comprimento 8 contendo uma máscara de recursos estendidos de CPU que o TDX tem permissão para usar.

tdx_seamsvn – um número que representa o módulo Intel TDX SVN. A definição completa da declaração está disponível na seção 3.1 SEAM_SIGSTRUCT: ESTRUTURA DE ASSINATURA DE MÓDULO DO INTEL® TDX da Especificação de Interface de Carregador do Intel® TDX

tdx_td_attributes – uma cadeia de caracteres hexadecimal de 16 caracteres que representa uma matriz de bytes de comprimento 8. Esses são os atributos associados ao TD (Domínio de Confiança). As definições completas das declarações mencionadas abaixo estão disponíveis na seção A.3.4. Atributos TD da especificação da API da Biblioteca de Cotações do Intel® TDX DCAP.

tdx_td_attributes_debug – um valor booliano que indica se o TD é executado no modo de depuração TD (definido como 1) ou não (definido como 0). No modo de depuração de TD, o estado da CPU e a memória privada são acessíveis pelo VMM do host.

tdx_td_attributes_key_locker – um valor booliano que indica se o TD tem permissão para usar o Key Locker.

tdx_td_attributes_perfmon – um valor booliano que indica se o TD tem permissão para usar recursos Perfmon e PERF_METRICS.

tdx_td_attributes_protection_keys – um valor booliano que indica se o TD tem permissão para usar chaves de proteção do supervisor.

tdx_td_attributes_septve_disable – um valor booliano que determina se a conversão de violação de EPT deve ser desabilitada para #VE no acesso TD de páginas PENDENTES.

Declarações de Attester

attester_tcb_status – um valor de cadeia de caracteres que representa o status de nível TCB da plataforma que está sendo avaliada. Confira tcbStatus no Portal do Desenvolvedor de Gerenciamento de API de Serviços Confiáveis da Intel®.

Declarações específicas da Microsoft

x-ms-attestation-type – um valor de cadeia de caracteres que representa o tipo de atestado.

x-ms-policy-hash – hash da política de avaliação do Atestado do Azure computada como BASE64URL(SHA256(UTF8(BASE64URL(UTF8(policy text))))).

x-ms-runtime – objeto JSON que contém "declarações" que são definidas e geradas dentro do ambiente atestado. Esta é uma especialização do conceito de "dados mantidos pelo enclave", em que os "dados mantidos pelo enclave" são especificamente formatados como uma codificação UTF-8 de JSON bem formado.

x-ms-ver – versão do esquema JWT (deve ser "1.0") }