Alibaba Cloudリモート認証サービスは、プラットフォームの信頼性とプラットフォーム上で実行されるバイナリの整合性を検証する統合認証ソリューションです。 このサービスは、Trusted Platform Module (TPM) 環境およびtrusted実行環境 (TEE) を証明するために使用できます。 このトピックでは、リモート認証サービスの仕組みとサービスの使用方法について説明します。
リモート認証サービスの仕組み
リモート認証サービスは、バックグラウンドチェックモデルの上に構築されています。 このサービスを使用して、セキュリティ強化されたECS (Elastic Compute service) インスタンスのセキュリティステータスと信頼性を確認できます。 このサービスには以下の関係者が含まれます。
Attester: ECSインスタンスのIDセキュリティと信頼性を証明する必要があるECSインスタンスのユーザー。
依拠当事者: 証明者のアイデンティティおよび信頼性を検証するエンティティ。 応答当事者は、TPMおよびTEEからのメトリックに基づいて評価ポリシーを生成する。
検証者: アリババクラウドのリモート認証サービスで、証拠を評価ポリシーと比較し、認証結果を提供します。
プロセス:
attesterは、ECSインスタンスから証拠を収集して生成します。
証明者は、証拠を依拠当事者に提出する。
依拠当事者は、証拠を検証者に転送する。
検証者は、証拠を対応する評価ポリシーと比較する。
検証者は、証明結果を依拠当事者に返す。
依拠当事者は、証明結果を対応する評価ポリシーと比較する。
証明結果は、信頼できる検証者によって安全なチャネルを介して依拠当事者に送信される。 これにより、プロセスの安全性が高くなります。 バックグラウンドチェックモデルの詳細については、「RFC 9334」をご参照ください。
Alibaba Cloudリモート認証サービスのアーキテクチャでは、証明書は証明者から検証者に転送されるか、証明者から検証者に直接送信されます。 リモート認証サービスは検証者です。 いずれの場合も、依拠当事者は、特定の証明者の証明結果をいつでも照会することができる。 これにより、依拠当事者の負荷を大幅に低減し、すべての証明者のステータスの集中管理を容易にすることができる。
課金
リモート認証サービスの料金は請求されません。
ただし、リモート認証サービスが使用されているECSインスタンスに対しては課金されます。
APIの例
リモート認証サービスは、仮想TPM (vTPM) に基づく信頼できるコンピューティング最適化インスタンスと、Intel Software Guard Extensions (SGX) 、Trust Domain Extensions (TDX) 、およびEnclaveに基づく機密コンピューティングインスタンスをサポートします。
vTPMのリモート認証サービスを使用するには、Alibaba CloudアカウントのSecurity Center (SAS) を有効化する必要があります。
Intel SGXまたはTDXを使用するインスタンスの場合、匿名のHTTPリクエストを介してリモート認証サービスを使用できます。
vTPMインスタンス
信頼できるコンピューティング最適化インスタンスの詳細については、「信頼できるコンピューティング機能の概要」をご参照ください。
証拠を提出
サンプルリクエスト (PutMessage操作は認証後に呼び出すことができます。 詳細については、「リクエスト構文と署名方法」をご参照ください。
アクセスhttps://trusted-server.cn-hangzhou.aliyuncs.com?Action=PutMessage&PropertyUuid=0f74b5cc-ff0e-4fa6-b457-1dc58072 ****&FileData=******************サンプル成功応答:
{
"PropertyName": "インスタンス名" 、"SystemTrustDetail": {
"pcr3": "d458cfe55cc03ea1f443f1562beec8df51c75e14a9fcf9a7234a13f198exxxx" 、"pcr4": "c35cef3b92c3850dc0bfa6139b25dc1c4c3d642b8587bde0fiemd847ufjxxxx" 、"pcr5": "aabd7d8c76c931dabed7ea53d1c8f96036c42a29435680ddff3f3148ff70xxxx" 、"pcr6": "d458cfe55cc03ea1f443f1562beec8df51c75e14a9fcf9a7234a13f198exxxx" 、"pcr0": "d22aa1bba22e829456f0cfda0d87690e6c252032864643da353133f161xxxx" 、"pcr1": "d9f056a703f04e4f408445752e97e92c890266d32e2ff1df3e80545aab4fxxxx" 、"pcr2": "d458cfe55cc03ea1f443f1562beec8df51c75e14a9fcf9a7234a13f198exxxx" 、"pcr7": "dd794f2d0c4cfa28dc9b5a3266e8516378ba551190d9844c38b890f7ad27xxxx" 、"pcr8": "deb301d065009d62980110d8173e350bbd43a4997ad74bf358ce5399c0ecxxxx" 、"pcr9": "ffe25e93ac7d245159184ac68c7dd5783e4cea978fafb1ad036bc861a8cdxxxx"
},
"RequestId": "D0E0C1D2-2937-54D4-9C52-XXXXXXXXXXXX" 、"SystemExceptionNum": 0、"ProgramWhiteListId": -1、"SystemWhiteListId": 1234、"ProgramTrustStatus": 4、"SystemTrustStatus": 1、"GmtModified": 1698975648000、"ProgramWhiteListName": "" 、"GmtRecentReport": 1698975648000、"OnlineStatus": 1、"Extensions": {
"pcr5": "d1dac9c104c63c7e24f27962f4ad1df639a3f3224b1a968a45916207cf3xxxx"
},
"PropertyPrivateIp": "1.1.X.X" 、"PropertyPublicIp": "1.1.X.X" 、"GmtCreate": 1698385542000、"PropertyUuid": "c13fcabe-6683-4a9f-8cdd-xxxxxxxxxxxx" 、"ProgramTrustDetail": "{}" 、"ProgramExceptionNum": 0、"PropertyAffiliation": 1
} 認証結果の照会
リクエストの例
アクセスhttps://trusted-server.cn-beijing.aliyuncs.com?Action=DescribeInstance&PropertyUuid=0f74b5cc-ff0e-4fa6-b457-1dc58072 ****サンプル成功応答:
{
"RequestId": "473469C7-AA6F-4DC5-B3DB-A3DC0DE3 ****"
"data": {
"nextClientIMAIndex": 0、
"systemVerificationResult": {
"status": 1、
"code": "TrustedStatus"
},
"programVerificationResult": {
"status": 1、
"code": "TrustedStatus"
}
}
}SGXまたはTDXインスタンス
SGXおよびTDXインスタンスの詳細については、「SGX暗号化コンピューティング環境の構築」および「TDX機密コンピューティング環境の構築」をご参照ください。
trusted computing base (TCB) 情報の取得
リクエストの例
カールhttps://sgx-dcap-server.cn-beijing.aliyuncs.com/sgx/certification/v3/tcb?fmspc=00606A000000サンプル成功応答:
{
"tcbInfo": {
"version": 2、"issueDate": "2023-10-11T08:09:33Z" 、"nextUpdate": "2023-12-18T08:09:33Z" 、"fmspc": "00606A000000" 、"pceId": "0000" 、"tcbType": 0、"tcbEvaluationDataNumber": 12、"tcbLevels": [{
"tcb": {
"sgxtcbcomp01svn": 4、"sgxtcbcomp02svn": 4、"sgxtcbcomp03svn": 3、"sgxtcbcomp04svn": 3、"sgxtcbcomp05svn": 255、"sgxtcbcomp06svn": 255、"sgxtcbcomp07svn": 0、"sgxtcbcomp08svn": 0、"sgxtcbcomp09svn": 0、"sgxtcbcomp10svn": 0、"sgxtcbcomp11svn": 0、"sgxtcbcomp12svn": 0、"sgxtcbcomp13svn": 0、"sgxtcbcomp14svn": 0、"sgxtcbcomp15svn": 0、"sgxtcbcomp16svn": 0、"pcesvn": 11
},
"tcbDate": "2021-11-10T00:00:00Z" 、"tcbStatus": "UpToDate"
}, {
"tcb": {
"sgxtcbcomp01svn": 4、"sgxtcbcomp02svn": 4、"sgxtcbcomp03svn": 3、"sgxtcbcomp04svn": 3、"sgxtcbcomp05svn": 255、"sgxtcbcomp06svn": 255、"sgxtcbcomp07svn": 0、"sgxtcbcomp08svn": 0、"sgxtcbcomp09svn": 0、"sgxtcbcomp10svn": 0、"sgxtcbcomp11svn": 0、"sgxtcbcomp12svn": 0、"sgxtcbcomp13svn": 0、"sgxtcbcomp14svn": 0、"sgxtcbcomp15svn": 0、"sgxtcbcomp16svn": 0、"pcesvn": 10
},
"tcbDate": "2020-11-11T00:00:00Z" 、"tcbStatus": "OutOfDate"
}, {
"tcb": {
"sgxtcbcomp01svn": 4、"sgxtcbcomp02svn": 4、"sgxtcbcomp03svn": 3、"sgxtcbcomp04svn": 3、"sgxtcbcomp05svn": 255、"sgxtcbcomp06svn": 255、"sgxtcbcomp07svn": 0、"sgxtcbcomp08svn": 0、"sgxtcbcomp09svn": 0、"sgxtcbcomp10svn": 0、"sgxtcbcomp11svn": 0、"sgxtcbcomp12svn": 0、"sgxtcbcomp13svn": 0、"sgxtcbcomp14svn": 0、"sgxtcbcomp15svn": 0、"sgxtcbcomp16svn": 0、"pcesvn": 5
},
"tcbDate": "2018-01-04T00:00:00Z" 、"tcbStatus": "OutOfDate"
}]
},
"signature": "21750a9a4173140379971c9eeaeee8dd27364cae4fdc45e19825bcddb0e5942941cb7cad8067aaaa98c75a0a0cfa9de329eb7d875957bd633a248bc328a0xxxx"
} 引用エンクレーブ (QE) IDの取得
リクエストの例
カールhttps://sgx-dcap-server.cn-beijing.aliyuncs.com/sgx/certification/v3/qe/identityサンプル成功応答:
{
"enclaveIdentity": {
"id": "QE" 、"version": 2、"issueDate": "2023-11-01T14:57:38Z" 、"nextUpdate": "2023-12-01T14:57:38Z" 、"tcbEvaluationDataNumber": 16、"misselect": "00000000" 、"misselectMask": "FFFFFFFF" 、"attributes": "11000000000000000000000000000000" 、"attributesMask": "FBFFFFFFFFFFFFFF0000000000000000" 、"mrsigner": "8C4F5775D796503E96137F77C68A829A0056AC8DED70140B081B094490C5xxxx" 、"isvprodid": 1、"tcbLevels": [{
"tcb": {
"isvsvn": 8
},
"tcbDate": "2023-08-09T00:00:00Z" 、"tcbStatus": "UpToDate"
},
{
"tcb": {
"isvsvn": 6
},
"tcbDate": "2021-11-10T00:00:00Z" 、"tcbStatus": "OutOfDate"
}, {
"tcb": {
"isvsvn": 5
},
"tcbDate": "2020-11-11T00:00:00Z" 、"tcbStatus": "OutOfDate"
}, {
"tcb": {
"isvsvn": 4
},
"tcbDate": "2019-11-13T00:00:00Z" 、"tcbStatus": "OutOfDate"
}, {
"tcb": {
"isvsvn": 2
},
"tcbDate": "2019-05-15T00:00:00Z" 、"tcbStatus": "OutOfDate"
}, {
"tcb": {
"isvsvn": 1
},
"tcbDate": "2018-08-15T00:00:00Z" 、"tcbStatus": "OutOfDate"
}
]
},
"signature": "593f79398d6400e62d14f1066e69e4e5bb44ed7544b18713d8020354e7601481681dc812a124672bfedd0e54ab31179fac442400c011ebca6b00c44d805bxxxx"
} 見積検証エンクレーブ (QVE) IDの取得
リクエストの例
カールhttps://sgx-dcap-server.cn-beijing.aliyuncs.com/sgx/certification/v3/qve/identityサンプル成功応答:
{
"enclaveIdentity": {
"id": "QVE" 、"version": 2、"issueDate": "2023-11-01T15:45:01Z" 、"nextUpdate": "2023-12-01T15:45:01Z" 、"tcbEvaluationDataNumber": 16、"misselect": "00000000" 、"misselectMask": "FFFFFFFF" 、"attributes": "01000000000000000000000000000000" 、"attributesMask": "FBFFFFFFFFFFFFFF0000000000000000" 、"mrsigner": "8C4F5775D796503E96137F77C68A829A0056AC8DED70140B081B094490C5xxxx" 、"isvprodid": 2、"tcbLevels": [{
"tcb": {
"isvsvn": 3
},
"tcbDate": "2023-08-09T00:00:00Z" 、"tcbStatus": "UpToDate"
}]
},
"signature": "251bb1301cb499cb8161a9b885fad8ceeb06b497f1e4a83c8de2d0f2e9e82c3ce0f22ce2ef6c6a789dcc287bb0a1da12a822a465395b54c9046aacfee7ceaff6"
}