Bagikan melalui

Profil Azure Attestation EAT untuk Intel® Trust Domain Extensions (TDX)

  • Artikel

Profil ini menguraikan klaim untuk hasil pengesahan Intel® Trust Domain Extensions (TDX) yang dihasilkan sebagai Token Pengesahan Entitas (EAT) oleh Azure Attestation.

Profil ini mencakup klaim dari spesifikasi IETF JWT , spesifikasi EAT), spesifikasi TDX Intel, dan klaim spesifik Microsoft.

Klaim JWT

Definisi lengkap klaim berikut tersedia dalam spesifikasi JWT.

iat - Klaim "iat" (dikeluarkan pada) mengidentifikasi waktu di mana JWT dikeluarkan.

exp - Klaim "exp" (waktu kedaluwarsa) mengidentifikasi waktu kedaluwarsa pada atau setelah itu JWT TIDAK BOLEH diterima untuk diproses.

iss - Klaim "iss" (penerbit) mengidentifikasi prinsipal yang menerbitkan JWT.

jti - Klaim "jti" (JWT ID) menyediakan pengidentifikasi unik untuk JWT.

nbf - Klaim "nbf" (tidak sebelumnya) mengidentifikasi waktu sebelum JWT TIDAK BOLEH diterima untuk diproses.

Klaim EAT

Definisi lengkap dari klaim berikut tersedia dalam spesifikasi EAT.

eat_profile - Klaim "eat_profile" mengidentifikasi profil EAT dengan URL atau OID.

dbgstat - Klaim "dbgstat" berlaku untuk fasilitas debug seluruh entitas atau submodule entitas seperti [JTAG] dan perangkat keras diagnostik yang dibangun ke dalam chip.

intuse - Klaim "intuse" memberikan indikasi kepada konsumen EAT tentang penggunaan token yang dimaksudkan.

Klaim TDX

Definisi lengkap klaim tersedia di bagian A.3.2 TD Quote Body spesifikasi Intel® TDX DCAP Quoting Library API .

tdx_mrsignerseam - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi pengukuran penanda tangan modul TDX.

tdx_mrseam - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi pengukuran modul Intel TDX.

tdx_mrtd - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi pengukuran konten awal TDX.

tdx_rtmr0 - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi register pengukuran yang dapat diperpanjang runtime.

tdx_rtmr1 - String heksadesimal 96 karakter yang mewakili array byte dengan panjang 48 yang berisi register pengukuran yang dapat diperluas runtime.

tdx_rtmr2 - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi register pengukuran yang dapat diperluas runtime.

tdx_rtmr3 - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi register pengukuran yang dapat diperpanjang runtime.

tdx_mrconfigid - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi ID yang ditentukan perangkat lunak untuk konfigurasi TDX yang tidak ditentukan pemilik, misalnya, konfigurasi runtime atau Sistem Operasi (OS).

tdx_mrowner - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi ID yang ditentukan perangkat lunak untuk pemilik TDX.

tdx_mrownerconfig - String heksadesimal 96 karakter yang mewakili array byte panjang 48 yang berisi ID yang ditentukan perangkat lunak untuk konfigurasi TDX yang ditentukan pemilik, misalnya, khusus untuk beban kerja daripada runtime atau OS.

tdx_report_data - String heksadesimal 128 karakter yang mewakili array byte panjang 64. Dalam konteks ini, TDX memiliki fleksibilitas untuk menyertakan 64 byte data kustom dalam Laporan TDX. Misalnya, ruang ini dapat digunakan untuk menahan nonce, kunci publik, atau hash blok data yang lebih besar.

tdx_seam_attributes - String heksadesimal 16 karakter yang mewakili array byte panjang 8 yang berisi konfigurasi tambahan modul TDX.

tdx_tee_tcb_svn - String heksadesimal 32 karakter yang mewakili array byte panjang 16 yang menjelaskan Nomor Versi Keamanan (SVN) Basis Komputasi Tepercaya (TCB) TDX.

tdx_xfam - String heksadesimal 16 karakter yang mewakili array byte panjang 8 yang berisi masker fitur diperluas CPU yang diizinkan untuk digunakan TDX.

tdx_seamsvn - Angka yang mewakili SVN modul Intel TDX. Definisi lengkap klaim tersedia di bagian 3.1 SEAM_SIGSTRUCT: STRUKTUR TANDA TANGAN MODUL INTEL® TDX dari Spesifikasi Antarmuka Pemuat Intel® TDX

tdx_td_attributes - String heksadesimal 16 karakter yang mewakili array byte dengan panjang 8. Ini adalah atribut yang terkait dengan Domain Kepercayaan (TD). Definisi lengkap klaim yang disebutkan di bawah ini tersedia di bagian A.3.4. Atribut TD dari spesifikasi API Pustaka Kutipan Intel® TDX DCAP.

tdx_td_attributes_debug - Nilai boolean yang menunjukkan apakah TD berjalan dalam mode debug TD (diatur ke 1) atau tidak (diatur ke 0). Dalam mode debug TD, status CPU dan memori privat dapat diakses oleh VMM host.

tdx_td_attributes_key_locker - Nilai boolean yang menunjukkan apakah TD diizinkan untuk menggunakan Key Locker.

tdx_td_attributes_perfmon - Nilai boolean yang menunjukkan apakah TD diizinkan untuk menggunakan kemampuan Perfmon dan PERF_METRICS.

tdx_td_attributes_protection_keys - Nilai boolean yang menunjukkan apakah TD diizinkan untuk menggunakan Kunci Perlindungan Supervisor.

tdx_td_attributes_septve_disable - Nilai boolean yang menentukan apakah akan menonaktifkan konversi pelanggaran EPT ke #VE pada akses TD halaman PENDING.

Klaim attester

attester_tcb_status - Nilai string yang mewakili status tingkat TCB platform yang sedang dievaluasi. Lihat tcbStatus di Portal Pengembang API Management Layanan Tepercaya Intel®.

Klaim spesifik Microsoft

x-ms-attestation-type - Nilai string yang mewakili jenis pengesahan.

x-ms-policy-hash - Hash kebijakan evaluasi Azure Attestation dihitung sebagai BASE64URL(SHA256(UTF8(BASE64URL(UTF8(teks kebijakan))))).

x-ms-runtime - Objek JSON yang berisi "klaim" yang ditentukan dan dihasilkan dalam lingkungan yang diujarkan. Ini adalah spesialisasi dari konsep "data yang disimpan enklave", di mana "enklave memegang data" secara khusus diformat sebagai pengodean UTF-8 dari JSON yang terbentuk dengan baik.

x-ms-ver - Versi skema JWT (diharapkan "1.0") }