共用方式為

Intel® 信任網域延伸模組 (TDX) 的 Azure 證明 EAT 設定檔

  • 發行項

此設定檔概述 Azure 證明產生為實體證明權杖(EAT) 的 Intel® 信任網域延伸模組 (TDX) 證明結果的宣告。

設定檔包含來自 IETF JWT 規格、EAT 規格、Intel 的 TDX 規格和 Microsoft 特定宣告的宣告。

JWT 宣告

JWT 規格中提供下列宣告的完整定義。

iat - "iat" (簽發時間) 宣告會識別簽發 JWT 的時間。

exp - "exp" (到期時間) 宣告會識別到期時間,在此時間或晚於此時間都不得接受 JWT 以進行處理。

iss - "Iss" (簽發者) 宣告會識別簽發 JWT 的主體。

jti - "jti" (JWT 識別碼) 宣告會提供 JWT 的唯一識別碼。

nbf - "nbf" (生效時間) 宣告會識別生效時間,在此時間之前不得接受 JWT 以進行處理。

EAT 宣告

EAT 規格中提供下列宣告的完整定義。

eat_profile - "eat_profile" 宣告會透過 URL 或 OID 來識別 EAT 設定檔。

dbgstat - "dbgstat" 宣告適用於實體範圍​​或子模組範圍偵錯設施,例如 [JTAG] 和晶片內建的診斷硬體。

intuse - "intuse" 宣告會向 EAT 取用者提供權杖預期使用方式的指示。

TDX 宣告

宣告的完整定義可在 Intel® TDX DCAP 引用程式庫 API 規格的 A.3.2 TD 引用本文章節中取得。

tdx_mrsignerseam - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含 TDX 模組簽署者的度量。

tdx_mrseam - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含 Intel TDX 模組的度量。

tdx_mrtd - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含 TDX 初始內容的度量。

tdx_rtmr0 - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含執行階段可擴充度量暫存器。

tdx_rtmr1 - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含執行階段可擴充度量暫存器。

tdx_rtmr2 - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含執行階段可擴充度量暫存器。

tdx_rtmr3 - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含執行階段可擴充度量暫存器。

tdx_mrconfigid - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含 TDX 非擁有者定義設定的軟體定義識別碼,例如執行階段或操作系統 (OS) 設定。

tdx_mrowner - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含 TDX 擁有者的軟體定義識別碼。

tdx_mrownerconfig - 96 個字元的十六進位字串,代表長度為 48 的位元組陣列,其中包含 TDX 擁有者定義設定的軟體定義識別碼,例如工作負載特有的,而不是執行階段或操作系統。

tdx_report_data - 128 個字元的十六進位字串,代表長度為 64 的位元組陣列。 在此內容中,TDX 可以彈性地在 TDX 報表中包含 64 個位元組的自訂資料。 例如,此空間可用來保存 nonce、公開金鑰或較大資料區塊的雜湊。

tdx_seam_attributes - 16 個字元的十六進位字串,代表長度為 8 的位元組陣列,其中包含 TDX 模組的其他設定。

tdx_tee_tcb_svn - 32 個字元的十六進位字串,代表長度為 16 的位元組陣列,描述 TDX 受信任的運算基礎 (TCB) 安全性版本號碼 (SVN)。

tdx_xfam - 16 個字元的十六進位字串,代表長度為 8 的位元組陣列,其中包含 TDX 允許使用的 CPU 擴充功能的遮罩。

tdx_seamsvn - 代表 Intel TDX 模組 SVN 的數字。 宣告的完整定義位於 Intel® TDX 載入器介面規格 的第 3.1 節 [SEAM_SIGSTRUCT:Intel® TDX 模組簽章結構]

tdx_td_attributes - 16 個字元的十六進位字串,代表長度為 8 的位元組陣列。 這些是與信任網域 (TD) 相關聯的屬性。 下列宣告的完整定義可在 A.3.4 章節中使用。 Intel® TDX DCAP 引用程式庫 API 規格的 TD 屬性。

tdx_td_attributes_debug - 指出 TD 是否以 TD 偵錯模式執行的布爾值 (是設為 1,否設為 0)。 在 TD 偵錯模式中,主機 VMM 可以存取 CPU 狀態和私人記憶體。

tdx_td_attributes_key_locker - 指出 TD 是否允許使用 Key Locker 的布爾值。

tdx_td_attributes_perfmon - 指出 TD 是否允許使用 Perfmon 和 PERF_METRICS 功能的布爾值。

tdx_td_attributes_protection_keys - 指出 TD 是否允許使用 Supervisor Protection Keys 的布爾值。

tdx_td_attributes_septve_disable - 決定是否停用 PENDING 頁面的 TD 存取上將 EPT 違規轉換為 #VE 的布爾值。

證明者宣告

attester_tcb_status - 字串值,表示要評估之平台的 TCB 層級狀態。 請參閱 Intel® Trusted Services API 管理開發人員入口網站 中的 tcbStatus。

Microsoft 特定宣告

x-ms-attestation-type - 代表證明類型的字串值。

x-ms-policy-hash - Azure 證明評估原則的雜湊計算為 BASE64URL(SHA256(UTF8(BASE64URL(UTF8(policy text)))))。

x-ms-runtime - JSON 物件,其中包含在證明環境中定義和產生的「宣告」。 這是「記憶體保護區保留資料」概念的特製化,其中「記憶體保護區保留資料」會特別格式化為格式正確的 JSON 的 UTF-8 編碼。

x-ms-ver - JWT 結構描述版本 (預期是 “1.0”)}