Inhalt des NitroTPM-Attestierungsdokuments - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Inhalt des NitroTPM-Attestierungsdokuments

Ein Attestierungsdokument wird vom NitroTPM generiert und vom Nitro-Hypervisor signiert. Es enthält eine Reihe von PCR-Werten (Platform Configuration Registers), die sich auf eine EC2 Amazon-Instance beziehen. Folgendes ist PCRs im Bescheinigungsdokument enthalten:

Wichtig

PCR0 und PCR1 werden im Allgemeinen verwendet, um den anfänglichen Startcode zu messen, der von gesteuert wird. AWS Um sichere Aktualisierungen des frühen Startcodes zu ermöglichen, enthalten PCRs diese immer konstante Werte.

  • PCR0 – Ausführbarer Code für die Kernsystem-Firmware

  • PCR1 – Firmware-Daten des Kernsystems

  • PCR2 – Erweiterter oder austauschbarer ausführbarer Code

  • PCR3 – Erweiterte oder austauschbare Firmware-Daten

  • PCR4 – Boot-Manager-Code

  • PCR5 – Konfiguration des Boot-Manager-Codes sowie Daten- und GPT-Partitionstabelle

  • PCR6 – Angaben zum Hersteller der Hostplattform

  • PCR7 – Secure Boot Policy

  • PCR8 - 15 – Definiert für die Verwendung durch das statische Betriebssystem

  • PCR16 – Debug

  • PCR23 – Anwendungsunterstützung

PCR4PCR7, und werden PCR12speziell verwendet, um zu überprüfen, ob eine Instance mit einem attestierbaren AMI gestartet wurde. PCR4 und PCR12 können zur Validierung mit Standardstart und PCR7 zur Validierung mit Secure Boot verwendet werden.

  • PCR4 (Boot Manager Code) — Wenn eine Instanz gestartet wird, erstellt NitroTPM kryptografische Hashes aller Binärdateien, die von seiner UEFI-Umgebung ausgeführt werden. Mit Attestable betten diese Boot-Binärdateien Hashes ein AMIs, die das future Laden von Binärdateien verhindern, die keine passenden Hashes haben. Auf diese Weise kann der binäre Single-Boot-Hash genau beschreiben, welchen Code eine Instance ausführen wird.

  • PCR7 (Secure Boot Policy) — UEFI-Boot-Binärdateien können mit einem UEFI Secure Boot-Signaturschlüssel signiert werden. Wenn UEFI Secure Boot aktiviert ist, verhindert UEFI die Ausführung von UEFI-Boot-Binärdateien, die nicht der konfigurierten Richtlinie entsprechen. PCR7 enthält einen Hash der UEFI-Secure-Boot-Richtlinie der Instanz.

    Wenn Sie eine einzige KMS-Richtlinie beibehalten müssen, die für alle Instanzupdates gültig ist, können Sie eine Richtlinie erstellen, die anhand eines UEFI Secure Boot-Zertifikats validiert wird PCR7 , um es zu validieren. Während der Erstellung eines attestierbaren AMI können Sie dann die Boot-Binärdatei mit Ihrem Zertifikat signieren und sie als einzig zulässiges Zertifikat in den UEFI-Daten des AMI installieren. Beachten Sie, dass Sie bei diesem Modell immer noch ein neues Zertifikat generieren, es in Ihrer Richtlinie installieren und aktualisieren müssen, AMIs wenn Sie verhindern möchten, dass Instanzen, die von einem alten (nicht vertrauenswürdigen) System gestartet wurden, Ihre KMS-Richtlinie AMIs erfüllen.

  • PCR12— Enthält den Hash der Befehlszeile, die an die UEFI-Boot-Binärdatei übergeben wurde. In Verbindung mit PCR4 für den Standardstart erforderlich, um zu überprüfen, ob die Befehlszeile nicht geändert wurde.