Azure confidential ledger ノードは、Intel SGX などの高信頼実行環境 (TEE) 上で実行されます。これにより、処理中のデータの機密性が保証されます。 プラットフォームとその内部で実行されているバイナリの信頼性は、リモート構成証明プロセスによって保証されます。 Azure confidential ledger では、ノードは、ネットワークに参加する前にクォートを提示する必要があります。 クォート レポート データには、ノードの ID 公開キーの暗号化ハッシュと MRENCLAVE 値が含まれています。 クォートが有効であることが判明し、MRENCLAVE 値が監査可能なガバナンスで許可されている値の 1 つである場合、ノードはネットワークへの参加を許可されます。
前提条件
- Ubuntu 20.04-LTS 64 ビット
- CCF または CCF Python パッケージをインストールする
- Open Enclave Host-verify SDK をインストールする
- jq をインストールする
ノードのクォートを確認する
サービス ID をダウンロードする
これは、クライアントが接続されているノードの ID を確認し、セキュリティで保護された通信チャネルを確立するために使用されます。 次のコマンドは、サービス ID をダウンロードして書式設定し、service_cert.pem に保存します。
curl https://identity.confidential-ledger.core.azure.com/ledgerIdentity/<ledgername> --silent | jq '.ledgerTlsCertificate' | xargs echo -e > service_cert.pem
クォートを確認する
ノードのクォートは、https://<ledgername>.confidential-ledger.azure.com からダウンロードでき、Open Enclave SDK に付属する oeverify ツール、または、verify_quote.sh スクリプトを使用して確認できます。 このスクリプトは、CCF インストールまたは CCF Python パッケージと共にインストールされます。 スクリプトとサポートされているパラメータの詳細については、verify_quote.sh を参照してください。
/opt/ccf_virtual/bin/verify_quote.sh https://<ledgername>.confidential-ledger.azure.com:443 --cacert service_cert.pem
このスクリプトは、ノードの ID 公開キー (DER エンコード) の暗号化ハッシュが SGX レポート データと一致するかどうか、およびクォート内に存在する MRENCLAVE 値が信頼できるかどうかを確認します。 ネットワーク内の信頼できる MRENCLAVE 値の一覧を https://<ledgername>.confidential-ledger.azure.com/node/code エンドポイントからダウンロードできます。 省略可能な mrenclave パラメータを指定して、ノードが信頼できるコードを実行しているかどうかを確認できます。 指定した場合、クォート内の mreclave 値は正確に一致する必要があります。