Azure Attestation EAT-profil för Intel® Trust Domain Extensions (TDX)

Den här profilen beskriver anspråk för ett TDX-attesteringsresultat (Intel® Trust Domain Extensions) som genereras som en eat-token (Entity Attestation Token) av Azure Attestation.

Profilen innehåller anspråk från IETF JWT-specifikationen, EAT)-specifikationen, Intels TDX-specifikation och Microsoft-specifika anspråk.

JWT-anspråk

De fullständiga definitionerna av följande anspråk är tillgängliga i JWT-specifikationen.

iat – anspråket "iat" (utfärdat vid) identifierar den tidpunkt då JWT utfärdades.

exp – Anspråket "exp" (förfallotid) identifierar förfallotiden på eller efter vilken JWT INTE får accepteras för bearbetning.

iss – anspråket "iss" (utfärdare) identifierar det huvudnamn som utfärdade JWT.

jti – JWT-anspråket (JWT ID) ger en unik identifierare för JWT.

nbf – anspråket "nbf" (inte före) identifierar den tid innan JWT INTE får godkännas för bearbetning.

EAT-anspråk

De fullständiga definitionerna av följande anspråk finns i EAT-specifikationen.

eat_profile – anspråket "eat_profile" identifierar en EAT-profil med antingen en URL eller en OID.

dbgstat – "dbgstat"-anspråket gäller för entitetsomfattande eller undermodulomfattande felsökningsanläggningar för entiteten som [JTAG] och diagnostikmaskinvara inbyggd i chips.

intuse – anspråket "intuse" ger en indikation till en EAT-konsument om den avsedda användningen av token.

TDX-anspråk

De fullständiga definitionerna av anspråken finns i avsnittet A.3.2 TD Quote Body of Intel® TDX DCAP Quoting Library API specification.

tdx_mrsignerseam – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller mätningen av TDX-modulsigneraren.

tdx_mrseam – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller mätningen av Intel TDX-modulen.

tdx_mrtd – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller mätningen av det ursprungliga innehållet i TDX.

tdx_rtmr0 – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller det utökade måttregistret för körningsmiljön.

tdx_rtmr1 – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller det utdragbara måttregistret för körning.

tdx_rtmr2 – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller det utdragbara måttregistret för körning.

tdx_rtmr3 – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller det utökade måttregistret för körningsmiljön.

tdx_mrconfigid – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller det programvarudefinierade ID:t för icke-ägardefinierad konfiguration av TDX, t.ex. körning eller operativsystemkonfiguration.

tdx_mrowner – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller det programvarudefinierade ID:t för TDX-ägaren.

tdx_mrownerconfig – en hexadecimal sträng med 96 tecken som representerar en bytematris med längd 48 som innehåller det programvarudefinierade ID:t för ägardefinierad konfiguration av TDX, t.ex. specifikt för arbetsbelastningen i stället för körningen eller operativsystemet.

tdx_report_data – en hexadecimal sträng med 128 tecken som representerar en bytematris med längd 64. I det här sammanhanget har TDX flexibiliteten att inkludera 64 byte anpassade data i en TDX-rapport. Det här utrymmet kan till exempel användas för att lagra en nonce, en offentlig nyckel eller en hash för ett större datablock.

tdx_seam_attributes – en hexadecimal sträng med 16 tecken som representerar en bytematris med längd 8 som innehåller ytterligare konfiguration av TDX-modulen.

tdx_tee_tcb_svn – en hexadecimal sträng med 32 tecken som representerar en bytematris med längd 16 som beskriver TCB-säkerhetsversionsnummer (SVN) för TDX.

tdx_xfam – en hexadecimal sträng med 16 tecken som representerar en bytematris med längd 8 som innehåller en mask med utökade CPU-funktioner som TDX tillåts använda.

tdx_seamsvn – ett tal som representerar Intel TDX-modulen SVN. Den fullständiga definitionen av anspråket finns i avsnitt 3.1 SEAM_SIGSTRUCT: INTEL® TDX MODULE SIGNATURE STRUCTURE of Intel® TDX Loader Interface Specification

tdx_td_attributes – en hexadecimal sträng med 16 tecken som representerar en bytematris med längd 8. Det här är attributen som är associerade med förtroendedomänen (TD). De fullständiga definitionerna av de anspråk som nämns nedan finns i avsnittet A.3.4. TD-attribut för Api-specifikationen för Intel® TDX DCAP Quoting Library .

tdx_td_attributes_debug – ett booleskt värde som anger om TD:t körs i felsökningsläge för TD (inställt på 1) eller inte (inställt på 0). I TD-felsökningsläge är processortillståndet och det privata minnet tillgängliga av värdens VMM.

tdx_td_attributes_key_locker – ett booleskt värde som anger om TD:t tillåts använda Nyckelskåp.

tdx_td_attributes_perfmon – ett booleskt värde som anger om TD:t tillåts använda Perfmon- och PERF_METRICS-funktioner.

tdx_td_attributes_protection_keys – ett booleskt värde som anger om TD:t tillåts använda övervakarskyddsnycklar.

tdx_td_attributes_septve_disable – Ett booleskt värde som avgör om du vill inaktivera konvertering av EPT-överträdelser till #VE på TD-åtkomst till väntande sidor.

Attester-anspråk

attester_tcb_status – ett strängvärde som representerar TCB-nivåstatusen för den plattform som utvärderas. Se tcbStatus i Utvecklarportalen för API Management för Intel® Trusted Services.

Microsoft-specifika anspråk

x-ms-attestation-type – ett strängvärde som representerar attesteringstypen.

x-ms-policy-hash – Hash för utvärderingsprincipen för Azure Attestation beräknas som BASE64URL(SHA256(UTF8(BASE64URL(UTF8(principtext))))).

x-ms-runtime – JSON-objekt som innehåller "anspråk" som definieras och genereras i den intygade miljön. Detta är en specialisering av begreppet "enklaverhållna data", där "enklaven lagrade data" är specifikt formaterad som en UTF-8-kodning av välformulerad JSON.

x-ms-ver – JWT-schemaversion (förväntas vara "1.0") }