Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um nó de razão confidencial do Azure é executado em um TEE (Ambiente de Execução Confiável), como o Intel SGX, que garante a confidencialidade dos dados durante o processo. A confiabilidade da plataforma e dos binários em execução dentro dela é garantida por meio de um processo de atestado remoto. Um razão confidencial do Azure necessita de um nó para apresentar uma cotação antes de ingressar na rede. Os dados do relatório de cotação contêm o hash criptográfico da chave pública de identidade do nó e o valor MRENCLAVE. O nó poderá ingressar na rede se a cotação for considerada válida e o valor MRENCLAVE for um dos valores permitidos na governança auditável.
Pré-requisitos
- Ubuntu 20.04-LTS 64-bit
- Instalar o CCF ou o pacote CCF do Python
- Instalar o SDK de verificação de host do Open Enclave
- Instalar o jq
Verificar cotação do nó
Baixar a identidade do serviço
Usado para verificar a identidade do nó ao qual o cliente está conectado e estabelecer um canal de comunicação seguro com ele. O comando a seguir baixa, formata e salva a identidade do serviço em service_cert.pem.
curl https://identity.confidential-ledger.core.azure.com/ledgerIdentity/<ledgername> --silent | jq '.ledgerTlsCertificate' | xargs echo -e > service_cert.pem
Verificar cotação
A cotação do nó pode ser baixada de https://<ledgername>.confidential-ledger.azure.com e verificada usando a ferramenta oeverify que é fornecida com o SDK do Open Enclave ou com o script verify_quote.sh. Isso é instalado com a instalação do CCF ou com o pacote CCF do Python. Para obter todos os detalhes sobre o script e os parâmetros com suporte, consulte verify_quote.sh.
/opt/ccf_virtual/bin/verify_quote.sh https://<ledgername>.confidential-ledger.azure.com:443 --cacert service_cert.pem
O script verifica se o hash criptográfico da chave pública de identidade do nó (codificado em DER) corresponde aos dados do relatório SGX e se o valor MRENCLAVE presente na cotação é confiável. É possível baixar uma lista de valores MRENCLAVE confiáveis na rede a partir do ponto de extremidade https://<ledgername>.confidential-ledger.azure.com/node/code. Um parâmetro mrenclave opcional pode ser fornecido para verificar se o nó está executando o código confiável. Se fornecido, o valor MRENCLAVE na cotação deverá corresponder exatamente a ele.