Autenticazione dei nodi del libro mastro riservato di Azure
Esempi di codice e utenti possono autenticare i nodi del libro mastro riservato di Azure.
Esempi di codice
Durante l'inizializzazione, gli esempi di codice ottengono il certificato del nodo eseguendo una query sul servizio di gestione delle identità. L'esempio di codice recupera il certificato del nodo prima di eseguire una query sul libro mastro per ottenere un'offerta, che viene quindi convalidata usando i file binari Di verifica host. Se la verifica ha esito positivo, l'esempio di codice procede con le operazioni del libro mastro.
Utenti
Gli utenti possono convalidare l'autenticità dei nodi del libro mastro riservato di Azure per verificare che si trovino effettivamente in interfaccia con l'enclave del libro mastro. È possibile creare attendibilità nei nodi del libro mastro riservato di Azure in alcuni modi, che possono essere impilati l'uno sull'altro per aumentare il livello complessivo di attendibilità. Di conseguenza, i passaggi 1 e 2 sono importanti meccanismi di attendibilità per gli utenti dell'enclave del libro mastro riservato di Azure come parte dell'handshake TLS iniziale e dell'autenticazione all'interno dei flussi di lavoro funzionali. Inoltre, viene mantenuta una connessione client persistente tra il client dell'utente e il libro mastro riservato.
Convalida di un nodo libro mastro riservato: un nodo libro mastro riservato viene convalidato eseguendo una query sul servizio di identità ospitato da Microsoft, che fornisce un certificato di servizio e quindi consente di verificare che il nodo libro mastro presenti un certificato approvato/firmato dal certificato del servizio per tale istanza specifica. Un'autorità di certificazione (CA) nota o ca intermedia firma il certificato di un server usando HTTPS basato su PKI. Nel caso del libro mastro riservato di Azure, il certificato della CA viene restituito dal servizio di identità sotto forma di certificato del servizio. Se il certificato del nodo non è firmato dal certificato del servizio restituito, la connessione client deve avere esito negativo (come implementato nel codice di esempio).
Convalida di un enclave del libro mastro riservato: un libro mastro riservato viene eseguito in un enclave Intel® SGX rappresentato da un report di attestazione remota (o virgolette), un BLOB di dati generato all'interno di tale enclave. Può essere usato da qualsiasi altra entità per verificare che l'offerta sia stata prodotta da un'applicazione in esecuzione con protezioni Intel® SGX. La citazione contiene attestazioni che consentono di identificare varie proprietà dell'enclave e l'applicazione in esecuzione. In particolare, contiene l'hash SHA-256 della chiave pubblica contenuta nel certificato del libro mastro riservato. L'offerta di un nodo libro mastro riservato può essere recuperata chiamando un'API del flusso di lavoro funzionale. L'offerta recuperata può quindi essere convalidata seguendo la procedura descritta qui.