원격 Attestation 서비스(IAS)가 인텔® Software Guard Extensions 영토 및 클라이언트 플랫폼을 증명하기 위해 사용하는 견적 구조 세부 정보
원격 attestation에서 클라이언트는 서비스 공급자에게 견적을 제공하고 서비스 공급자는 검증을 위해 견적을 IAS(원격 Attestation Service)로 전달합니다.
IAS는 영토와 클라이언트 플랫폼을 인증하기 위해 어떤 구성 요소 또는 자료를 사용합니까?
인텔 원격 Attestation Service(IAS®)는 서비스 공급자 또는 타사에 의존하는 견적만을 검토하여 영토와 클라이언트 플랫폼을 증명합니다.
| 참고 |
Attestation Evidence Payload에 대한 자세한 내용은 인텔® Software Guard Extensions(인텔® SGX) Attestation API 사양의 데이터 구조 장을 참조하십시오. |
인텔이 개발 및 서명한 건축 영토인 인용 영토(QE)는 견적을 생성합니다. 견적의 다음 필드는 IAS가 영토의 신원을 확인하는 데 사용됩니다.
- MRENCLAVE
- MRSIGNER
- ISVPRODID
- ISVSVN
이러한 필드는 ISV 영토에서 수정할 수 없습니다. attestation 프로세스 중 프로세서 하드웨어는 견적의 CMAC 측정을 생성합니다. CMAC가 변경되면 attestation이 실패합니다.
인텔이 서명한 QE만이 IAS가 인정하는 프로비저닝 단계에서 개인 Attestation Key를 얻을 수 있습니다. 오픈 소스 QE 코드를 사용하는 다른 영토는 인텔 QE 서명 키에 서명되지 않기 때문에 IAS가 수락할 attestation 키를 얻을 수 없습니다.
모든 데이터는 TCB(Trusted Computing Base)로 구성됩니다. IAS는 SGX를 지원하는 모든 인텔 프로세서에 대해 허용되는 TCB 데이터베이스를 유지 관리합니다. attestation 동안 제공된 견적의 데이터는 인텔이 관리하는 알려진 양호한 TCB와 비교되며, 생성된 attestation 보고서에는 비교 결과가 포함되어 있습니다.