リモート認証サービス (IAS) によって使用される引用符構造の詳細は、エンクレーブとクライアント・プラットフォームインテル® Software Guard Extensionsテストします。
リモート構成証明では、クライアントはサービス プロバイダーに見積もりを与え、サービス プロバイダーは、検証のために、見積もりをリモート認証サービス (IAS) に渡します。
IAS は、エンクレーブとクライアント・プラットフォームをテストするために、どのコンポーネントまたは資料を使用しますか?
インテル® リモート認証サービス (IAS) は、サービス・プロバイダーが送信する見積もりのみを調べ、またはサードパーティーに依存して、エンクレーブとクライアント・プラットフォームをテストします。
| メモ |
テストの証拠ペイロードの詳細については、インテル® Software Guard Extensions (インテル® SGX) のテスト API 仕様のデータ構造の章を参照してください。 |
インテルが開発し署名されたアーキテクチャー・エンクレーブ (QE) が見積書を生成します。引用符の次のフィールドは、IAS によってエンクレーブの ID を検証するために使用されます。
- MRENCLAVE
- MRSIGNER
- ISVPRODID
- ISVSVN
これらのフィールドは、ISV エンクレーブでは変更できません。認証プロセス中に、プロセッサー・ハードウェアは見積もりの CMAC 測定を生成します。CMAC が変更されると、認証が失敗します。
IAS によって認識されるプロビジョニング手順では、インテルが署名した QE のみがプライベートテストキーを取得できます。その他のエンクレーブは、オープンソースの QE コードを使用している場合でも、インテル® QE 署名キーによって署名されていないため、IAS が受け入れる認証キーを取得できません。
すべてのデータがトラステッド・コンピューティング・ベース (TCB) で構成されています。IAS は、SGX をサポートするすべてのインテル® プロセッサーで許容可能な TCB のデータベースを維持しています。提供された見積書のデータは、インテルが管理する既知の良好な TCB と比較され、生成されたテストレポートには比較結果が含まれます。