Isi Dokumen Pengesahan NitroTPM - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Isi Dokumen Pengesahan NitroTPM

Dokumen Pengesahan dihasilkan oleh NitroTPM dan ditandatangani oleh Nitro Hypervisor. Ini mencakup serangkaian nilai register konfigurasi platform (PCR) yang terkait dengan instance Amazon EC2 . PCRs Berikut ini termasuk dalam Dokumen Pengesahan:

penting

PCR0 dan PCR1 umumnya digunakan untuk mengukur kode boot awal, yang dikendalikan oleh. AWS Untuk memungkinkan pembaruan aman kode boot awal, ini PCRs akan selalu berisi nilai konstan.

  • PCR0— Kode Eksekusi Firmware Sistem Inti

  • PCR1— Data Firmware Sistem Inti

  • PCR2— Kode eksekusi yang diperluas atau dapat dicolokkan

  • PCR3— Data Firmware yang Diperpanjang atau dapat dicolokkan

  • PCR4— Kode Manajer Boot

  • PCR5— Konfigurasi Kode Boot Manager dan Data dan Tabel Partisi GPT

  • PCR6- Spesifikasi Produsen Platform Host

  • PCR7— Kebijakan Boot Aman

  • PCR8 - 15— Didefinisikan untuk digunakan oleh Sistem Operasi Statis

  • PCR16— Debug

  • PCR23— Support Aplikasi

PCR4dan PCR7secara khusus digunakan untuk memvalidasi bahwa instance diluncurkan menggunakan AMI yang Dapat Dibuktikan. PCR4 dapat digunakan untuk memvalidasi dengan boot standar, dan PCR7 dapat digunakan untuk memvalidasi dengan Boot Aman.

  • PCR4 (Boot Manager Code) — Ketika sebuah instance dimulai, NitroTPM membuat hash kriptografi dari semua binari yang dieksekusi oleh lingkungan UEFI-nya. Dengan Attestable AMIs, binari boot ini menyematkan hash yang mencegah pemuatan binari di masa mendatang yang tidak memiliki hash yang cocok. Dengan cara ini, hash biner boot tunggal dapat menggambarkan dengan tepat kode apa yang akan dijalankan oleh sebuah instance.

  • PCR7 (Secure Boot Policy) — Binari boot UEFI dapat ditandatangani dengan kunci penandatanganan UEFI Secure Boot. Ketika UEFI Secure Boot diaktifkan, UEFI akan mencegah eksekusi binari boot UEFI yang tidak sesuai dengan kebijakan yang dikonfigurasi. PCR7 berisi hash dari kebijakan UEFI Secure Boot instance.

    Jika Anda perlu mempertahankan satu kebijakan KMS yang tetap ada di seluruh pembaruan instans, Anda dapat membuat kebijakan yang memvalidasi PCR7 untuk memvalidasi sertifikat Boot Aman UEFI. Selama pembuatan AMI yang Dapat Dibuktikan, Anda kemudian dapat menandatangani biner boot dengan sertifikat Anda dan menginstalnya sebagai satu-satunya sertifikat yang diizinkan dalam data UEFI AMI. Perlu diingat bahwa model ini mengharuskan Anda untuk tetap membuat sertifikat baru, menginstalnya di kebijakan Anda dan memperbarui AMIs jika Anda ingin mencegah instance yang diluncurkan dari yang lama (tidak tepercaya) AMIs agar tidak meneruskan kebijakan KMS Anda.