Das NitroTPM-Attestierungsdokument abrufen - Amazon Elastic Compute Cloud
Das Hilfsprogramm nitro-tpm-attest installierenDas Hilfsprogramm nitro-tpm-attest verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Das NitroTPM-Attestierungsdokument abrufen

Das Attestierungsdokument ist ein wichtiger Bestandteil des NitroTPM-Attestierungsprozesses. Es enthält eine Reihe von kryptografischen Messungen, anhand derer die Identität der Instance überprüft und nachgewiesen werden kann, dass auf ihr nur vertrauenswürdige Software ausgeführt wird. Sie können das Bescheinigungsdokument mit verwenden AWS KMS, das integrierte Unterstützung für die NitroTPM-Bescheinigung bietet, oder um Ihre eigenen kryptografischen Bestätigungsmechanismen zu erstellen.

Das nitro-tpm-attest Tool ermöglicht es Ihnen, während der Laufzeit ein signiertes NitroTPM-Bestätigungsdokument für eine EC2 Amazon-Instance abzurufen.

Die Beispiel-Image-Beschreibung für Amazon Linux 2023 installiert automatisch das Hilfsprogramm im erstellten Image im /usr/bin/-Verzeichnis. Dadurch wird sichergestellt, dass das Hilfsprogramm auf Instances vorinstalliert ist, die mit dem AMI gestartet werden. Sie brauchen das Hilfsprogramm nicht manuell zu installieren. Weitere Informationen finden Sie unter Beispiel-Image-Beschreibung für Amazon Linux 2023 erstellen.

Themen

Das Hilfsprogramm nitro-tpm-attest installieren

Wenn Sie Amazon Linux 2023 verwenden, können Sie das Hilfsprogramm nitro-tpm-attest wie folgt aus dem Amazon-Linux-Repository installieren.

sudo yum install aws-nitro-tpm-tools

Das Hilfsprogramm nitro-tpm-attest verwenden

Das Hilfsprogramm stellt einen einzigen Befehl, nitro-tpm-attest, zum Abrufen des Attestierungsdokuments bereit. Der Befehl gibt das Attestierungsdokument zurück, das in Concise Binary Object Representation (CBOR) codiert und mit CBOR Object Signing and Encryption (COSE) signiert wurde.

Wenn Sie den Befehl ausführen, können Sie die folgenden optionalen Parameter angeben:

  • public-key— Ein öffentlicher Schlüssel, der von AWS KMS oder einem externen Dienst verwendet werden kann, um Antwortdaten zu verschlüsseln, bevor sie zurückgegeben werden. Dadurch wird sichergestellt, dass nur der vorgesehene Empfänger, der im Besitz des privaten Schlüssels ist, die Daten entschlüsseln kann. Wenn Sie beispielsweise mit bestätigen, verschlüsselt der Dienst die Klartextdaten mit AWS KMS dem öffentlichen Schlüssel im Bestätigungsdokument und gibt den resultierenden Chiffretext in dem Feld in der Antwort zurück. CiphertextForRecipient Es werden nur RSA-Schlüssel unterstützt.

  • user-data – Die Benutzerdaten können verwendet werden, um zusätzliche signierte Daten an einen externen Service zu übermitteln. Diese Benutzerdaten können verwendet werden, um ein zwischen der anfragenden Instance und dem externen Service vereinbartes Protokoll abzuschließen. Wird AWS KMS nicht für die Bescheinigung mit verwendet.

  • nonce – Die Nonce kann verwendet werden, um eine Challenge-Response-Authentifizierung zwischen der Instance und dem externen Service einzurichten, um Angriffe mit Identitätsmissbrauch zu verhindern. Mithilfe einer Nonce kann der externe Service überprüfen, ob er mit einer Live-Instance interagiert und nicht mit einem Imitator, der ein altes Attestierungsdokument wiederverwendet. Wird nicht zur Bescheinigung mit verwendet. AWS KMS

So rufen Sie das Attestierungsdokument ab

Verwenden Sie den folgenden Befehl und die optionalen Parameter:

/usr/bin/nitro-tpm-attest \
--public-key rsa_public_key \
--user-data user_data \
--nonce nonce

Ein vollständiges Beispiel, das zeigt, wie man ein RSA-Schlüsselpaar generiert und wie man eine Bescheinigung mit dem öffentlichen Schlüssel anfordert, finden Sie im Repo. nitro-tpm-attest GitHub