Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Węzeł rejestru poufnego platformy Azure jest wykonywany na podstawie zaufanego środowiska wykonawczego (TEE), takiego jak Intel SGX, który gwarantuje poufność danych podczas przetwarzania. Wiarygodność platformy i plików binarnych uruchomionych wewnątrz tej platformy jest gwarantowana za pośrednictwem zdalnego procesu zaświadczania. Rejestr poufny platformy Azure wymaga, aby węzeł przedstawiał ofertę przed dołączeniem do sieci. Dane raportu oferty zawierają skrót kryptograficzny klucza publicznego tożsamości węzła i wartość MRENCLAVE. Węzeł może dołączyć do sieci, jeśli cudzysłów okaże się prawidłowy, a wartość MRENCLAVE jest jedną z dozwolonych wartości w ład z możliwością inspekcji.
Wymagania wstępne
- Ubuntu 20.04-LTS 64-bitowy
- Instalowanie programu CCF lub pakietu języka Python CCF
- Instalowanie zestawu SDK weryfikacji hosta open enlave
- Instalowanie pakietu jq
Weryfikowanie cudzysłowu węzła
Pobieranie tożsamości usługi
Służy do weryfikowania tożsamości węzła, z którą jest połączony klient, i ustanawiania bezpiecznego kanału komunikacyjnego z nim. Następujące polecenie pobiera tożsamość usługi, formatuje ją i zapisuje w pliku service_cert.pem.
curl https://identity.confidential-ledger.core.azure.com/ledgerIdentity/<ledgername> --silent | jq '.ledgerTlsCertificate' | xargs echo -e > service_cert.pem
Weryfikowanie oferty
Cudzysłów węzłów można pobrać i https://<ledgername>.confidential-ledger.azure.com zweryfikować przy użyciu oeverify narzędzia dostarczanego z zestawem SDK Open Enlave lub za pomocą skryptu verify_quote.sh . Jest on instalowany z instalacją programu CCF lub pakietem języka Python CCF. Aby uzyskać szczegółowe informacje na temat skryptu i obsługiwanych parametrów, zapoznaj się z verify_quote.sh.
/opt/ccf_virtual/bin/verify_quote.sh https://<ledgername>.confidential-ledger.azure.com:443 --cacert service_cert.pem
Skrypt sprawdza, czy skrót kryptograficzny klucza publicznego tożsamości węzła (zakodowany w formacie DER) jest zgodny z danymi raportu SGX i czy wartość MRENCLAVE obecna w cudzysłowie jest zaufana. Listę zaufanych wartości MRENCLAVE w sieci można pobrać z punktu końcowego https://<ledgername>.confidential-ledger.azure.com/node/code . Opcjonalny mrenclave parametr można podać, aby sprawdzić, czy węzeł uruchamia zaufany kod. W przypadku dostarczenia wartość mreclave w cudzysłowie musi być dokładnie zgodna.