Autenticando os acenos Azure Confidential Ledger

Os nós Azure Confidential Ledger podem ser autenticados por amostras de código e pelos utilizadores.

Exemplos de código

Ao rubricar, as amostras de código obtêm o certificado de nó consultando o Serviço de Identidade. Após a recuperação do certificado de nó, uma amostra de código consultará a rede Ledger para obter uma cotação, que é então validada usando as binárias host Check. Se a verificação for bem sucedida, a amostra de código segue para as operações da Ledger.

Utilizadores

Os utilizadores podem validar a autenticidade dos nós da Confidential Ledger para confirmar que estão de facto a interagir com o enclave dos seus Ledger. Você pode construir a confiança nos nós da Confidential Ledger de algumas maneiras, que podem ser empilhados uns nos outros para aumentar o nível geral de confiança. Como tal, os passos 1-2 ajudam a criar confiança nesse enclave confidencial como parte do aperto de mão e autenticação inicial do TLS dentro dos fluxos de trabalho funcionais. Além disso, mantém-se uma ligação persistente do cliente entre o cliente do utilizador e o Livro Confidencial.

  • Validação do nó De Registo Confidencial: Isto é conseguido consultando o serviço de identidade hospedado pela Microsoft, que fornece um certificado de rede e assim ajuda a verificar que o nó Ledger está a apresentar um certificado endossado/assinado pelo certificado de rede para esse caso específico. Semelhante ao HTTPS baseado em PKI, o certificado de um servidor é assinado por uma conhecida Autoridade de Certificados (CA) ou CA intermediária. No caso da Confidential Ledger, o certificado ca é devolvido por um serviço de identidade sob a forma de um certificado de rede. Esta é uma importante medida de reforço da confiança para os utilizadores da Confidential Ledger. Se este nó cert não for assinado pelo certificado de rede devolvido, a ligação do cliente deve falhar (conforme implementado no código de amostra).
  • Validar o enclave Confidencial Ledger: O Ledger Confidencial funciona num enclave da Intel® SGX que é representado por uma Citação, uma bolha de dados gerada dentro desse enclave. Pode ser usado por qualquer outra entidade para verificar se a cotação foi produzida a partir de uma aplicação em execução com proteções Intel® SGX. A citação é estruturada de uma forma que permite uma verificação fácil. Contém alegações que ajudam a identificar várias propriedades do enclave e a aplicação que está a executar. Trata-se de um importante mecanismo de reforço da confiança para os utilizadores do Livro Confidencial. Isto pode ser conseguido chamando uma API de fluxo de trabalho funcional para obter uma cotação do enclave. A ligação ao cliente deve falhar se a cotação for inválida. A cotação recuperada pode então ser validada com a ferramenta open_enclaves Host_Verify. Mais detalhes sobre isso podem ser encontrados aqui.

Passos seguintes