Intel® TDX(Trust Domain Extensions)용 Azure Attestation EAT 프로필
이 프로필은 Azure Attestation에서 EAT(엔터티 증명 토큰)로 생성된 Intel® TDX(Trust Domain Extensions) 증명 결과에 대한 클레임을 간략하게 설명합니다.
프로필에는 IETF JWT 사양 EAT) 사양, Intel TDX 사양 및 Microsoft 특정 클레임이 포함됩니다.
JWT 클레임
다음 클레임의 전체 정의는 JWT 사양에서 사용할 수 있습니다.
iat - "iat"(발급 시간) 클레임은 JWT를 발급한 시간을 식별합니다.
exp - "exp"(만료 시간) 클레임은 JWT가 그 이후에는 처리를 허용하지 않아야 하는 만료 시간을 식별합니다.
iss - "iss"(발급자) 클레임은 JWT를 발급한 보안 주체를 식별합니다.
jti - "jti"(JWT ID) 클레임은 JWT에 대한 고유 식별자를 제공합니다.
nbf - "nbf"(not before) 클레임은 JWT가 그 이전에는 처리를 허용하지 않아야 하는 시간을 식별합니다.
EAT 클레임
다음 클레임의 전체 정의는 EAT 사양에서 사용할 수 있습니다.
eat_profile - "eat_profile" 클레임은 URL 또는 OID로 EAT 프로필을 식별합니다.
dbgstat - "dbgstat" 클레임은 [JTAG] 및 칩에 기본 제공되는 진단 하드웨어와 같은 엔터티의 엔터티 전체 또는 하위 모듈 차원 디버그 기능에 적용됩니다.
intuse - "intuse" 클레임은 EAT 소비자에게 토큰의 의도된 사용에 대한 표시를 제공합니다.
TDX 클레임
클레임의 전체 정의는 Intel® TDX DCAP 인용 라이브러리 API 사양의 A.3.2 TD 인용 본문 섹션에서 확인할 수 있습니다.
tdx_mrsignerseam - TDX 모듈 서명자의 측정값을 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_mrseam - Intel TDX 모듈의 측정값을 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_mrtd -TDX 모듈의 측정값을 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_rtmr0 - 런타임 확장 가능 측정값 레지스터를 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_rtmr1 - 런타임 확장 가능 측정값 레지스터를 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_rtmr2 - 런타임 확장 가능 측정값 레지스터를 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_rtmr3 - 런타임 확장 가능 측정값 레지스터를 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_mrconfigid - 런타임 또는 OS(운영 체제)처럼, TDX의 비소유자 정의 구성에 대한 소프트웨어 정의 ID를 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_mrowner - TDX 소유자에 대한 소프트웨어 정의 ID를 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_mrownerconfig - 런타임 또는 OS보다는 워크로드에 특정한 것처럼, TDX 구성에 대한 소프트웨어 정의 ID를 포함하는 길이 48의 바이트 배열을 나타내는 96자 16진수 문자열입니다.
tdx_report_data - 길이 64의 바이트 배열을 나타내는 128자 16진수 문자열입니다. 이 컨텍스트에서 TDX는 TDX 보고서에 64바이트의 사용자 지정 데이터를 유연하게 포함할 수 있습니다. 예를 들어 이 공간을 사용하여 nonce, 공개 키 또는 더 큰 데이터 블록의 해시를 보유할 수 있습니다.
tdx_seam_attributes - TDX 모듈 서명자의 측정값을 포함하는 길이 8의 바이트 배열을 나타내는 16자 16진수 문자열입니다.
tdx_tee_tcb_svn - TDX의 TCB(신뢰할 수 있는 컴퓨팅 기반) SVN(보안 버전 번호)을 설명하는 길이 16의 바이트 배열을 나타내는 32자 16진수 문자열입니다.
tdx_xfam - TDX에서 사용할 수 있는 CPU 확장 기능의 마스크를 포함하는 길이 8의 바이트 배열을 나타내는 16자 16진수 문자열입니다.
tdx_seamsvn - Intel TDX 모듈 SVN을 나타내는 숫자입니다. 클레임의 전체 정의는 Intel® TDX 로더 인터페이스 사양에서 섹션 3.1 SEAM_SIGSTRUCT: INTEL® TDX 모듈 서명 구조에서 제공합니다.
tdx_td_attributes - 길이 8의 바이트 배열을 나타내는 16자 16진수 문자열입니다. 이것은 TD(트러스트 도메인)와 연결된 특성입니다. 아래에 언급된 클레임의 전체 정의는 A.3.4 섹션 Intel® TDX DCAP 인용 라이브러리 API 사양의 TD 특성에서 확인할 수 있습니다.
tdx_td_attributes_debug - TD가 TD 디버그 모드(1로 설정)에서 실행되는지 여부를 나타내는 부울 값입니다(0으로 설정). TD 디버그 모드에서는 호스트 VMM에서 CPU 상태 및 프라이빗 메모리에 액세스할 수 있습니다.
tdx_td_attributes_key_locker - TD에서 Key Locker를 사용할 수 있는지 여부를 나타내는 부울 값입니다.
tdx_td_attributes_perfmon - TD에서 Perfmon 및 PERF_METRICS 기능을 사용할 수 있는지 여부를 나타내는 부울 값입니다.
tdx_td_attributes_protection_keys - TD에서 감독자 보호 키를 사용할 수 있는지 여부를 나타내는 부울 값입니다.
tdx_td_attributes_septve_disable - 보류 중인 페이지의 TD 액세스에서 #VE EPT 위반 변환을 사용하지 않도록 설정할지 여부를 결정하는 부울 값입니다.
Attester 클레임
attester_tcb_status - 평가 중인 플랫폼의 TCB 수준 상태를 나타내는 문자열 값입니다. Intel® Trusted Services API Management 개발자 포털의 tcbStatus를 참조하세요.
Microsoft 관련 클레임
x-ms-attestation-type - 증명 형식을 나타내는 문자열 값입니다.
x-ms-policy-hash - BASE64URL(SHA256(UTF8(BASE64URL(UTF8(정책 텍스트)))))로 계산된 Azure Attestation 평가 정책의 해시
x-ms-runtime - 증명된 환경 내에서 정의되고 생성된 "클레임"이 포함된 JSON 개체입니다. 이는 "enclave 보유 데이터" 개념의 전문화이며, 여기서 "enclave 보유 데이터"는 특별히 잘 구성된 JSON의 UTF-8 인코딩으로 형식이 지정됩니다.
x-ms-ver - JWT 스키마 버전("1.0"이어야 함)