Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un nœud de registre confidentiel Azure s’exécute sur un environnement d’exécution de confiance (TEE), tel qu’Intel SGX, qui garantit la confidentialité des données pendant le processus. La fiabilité de la plateforme et des fichiers binaires qui s’exécutent à l’intérieur de celle-ci est garantie par le biais d’un processus d’attestation à distance. Un registre confidentiel Azure nécessite qu’un nœud présente une Quote avant de rejoindre le réseau. Les données de rapport de la Quote contiennent le code de hachage de chiffrement de la clé publique d’identité du nœud et la valeur MRENCLAVE. Le nœud est autorisé à rejoindre le réseau si la Quote est considérée comme valide et que la valeur MRENCLAVE est l’une des valeurs autorisées dans la gouvernance auditable.
Prérequis
- Ubuntu 20.04-LTS 64 bits
- Installer CCF ou le package Python CCF
- Installer le Kit de développement logiciel (SDK) Open Enclave Host-verify
- Installer jq
Vérifier la Quote du nœud
Téléchargez l’identité du service
Elle est utilisée pour vérifier l’identité du nœud auquel le client est connecté et établir un canal de communication sécurisé avec celui-ci. La commande suivante télécharge l’identité du service, la formate et l’enregistre dans service_cert.pem.
curl https://identity.confidential-ledger.core.azure.com/ledgerIdentity/<ledgername> --silent | jq '.ledgerTlsCertificate' | xargs echo -e > service_cert.pem
Vérifier la Quote
La Quote de nœud peut être téléchargée à partir de https://<ledgername>.confidential-ledger.azure.com et vérifiée à l’aide de l’outil oeverify fourni avec le Kit de développement logiciel (SDK) Open Enclave ou avec le script verify_quote.sh. Elle est installée avec l’installation CCF ou le package Python CCF. Pour plus d’informations sur le script et les paramètres pris en charge, reportez-vous à verify_quote.sh.
/opt/ccf_virtual/bin/verify_quote.sh https://<ledgername>.confidential-ledger.azure.com:443 --cacert service_cert.pem
Le script vérifie si le code de hachage de chiffrement de la clé publique d’identité du nœud (codée DER) correspond aux données du rapport SGX et que la valeur MRENCLAVE présente dans la Quote est approuvée. Une liste de valeurs MRENCLAVE approuvées dans le réseau peut être téléchargée à partir du point de terminaison https://<ledgername>.confidential-ledger.azure.com/node/code. Un paramètre mrenclave facultatif peut être fourni pour vérifier si le nœud exécute le code approuvé. S’il est fourni, la valeur MRENCLAVE dans la Quote doit correspondre exactement à ce paramètre.