Installa l'nitro-tpm-attestutilità Usa l'nitro-tpm-attestutilità

Ottieni il documento di attestazione NitroTPM

Il documento di attestazione è un componente chiave del processo di attestazione NitroTPM. Contiene una serie di misurazioni crittografiche che possono essere utilizzate per verificare l'identità dell'istanza e per dimostrare che sta eseguendo solo software affidabile. È possibile utilizzare l'Attestation Document with AWS KMS, che fornisce supporto integrato per l'attestazione NitroTPM, o per creare meccanismi di attestazione crittografici personalizzati.

L'nitro-tpm-attestutilità consente di recuperare un documento di attestazione NitroTPM firmato per un'istanza Amazon EC2 durante il runtime.

La descrizione dell'immagine di esempio di Amazon Linux 2023 installa automaticamente l'utilità nell'immagine incorporata nella /usr/bin/ directory. Ciò garantisce che l'utilità sia preinstallata sulle istanze avviate utilizzando l'AMI. Non è necessario installare manualmente l'utilità. Per ulteriori informazioni, consulta Crea la descrizione dell'immagine di esempio di Amazon Linux 2023.

Argomenti

Installa l'`nitro-tpm-attest`utilità

Se utilizzi Amazon Linux 2023, puoi installare l'nitro-tpm-attestutilità dal repository Amazon Linux come segue.


sudo yum install aws-nitro-tpm-tools

Usa l'`nitro-tpm-attest`utilità

L'utilità fornisce un solo comando per recuperare il documento di attestazione. nitro-tpm-attest Il comando restituisce il documento di attestazione codificato in Concise Binary Object Representation (CBOR) e firmato utilizzando CBOR Object Signing and Encryption (COSE).

Quando si esegue il comando, è possibile specificare i seguenti parametri opzionali:

public-key— Una chiave pubblica che può essere utilizzata da AWS KMS o da un servizio esterno per crittografare i dati di risposta prima che vengano restituiti. Ciò garantisce che solo il destinatario previsto, in possesso della chiave privata, possa decrittografare i dati. Ad esempio, se si attesta con AWS KMS, il servizio crittografa i dati in chiaro con la chiave pubblica nel documento di attestazione e restituisce il testo cifrato risultante nel campo della risposta. CiphertextForRecipient Sono supportate solo le chiavi RSA.
user-data— I dati utente possono essere utilizzati per fornire eventuali dati firmati aggiuntivi a un servizio esterno. Questi dati utente possono essere utilizzati per completare un protocollo concordato tra l'istanza richiedente e il servizio esterno. Non utilizzato per l'attestazione con. AWS KMS
nonce— Il nonce può essere utilizzato per configurare l'autenticazione challenge-response tra l'istanza e il servizio esterno per aiutare a prevenire attacchi di impersonificazione. L'utilizzo di un nonce consente al servizio esterno di verificare che stia interagendo con un'istanza live e non con un imitatore che sta riutilizzando un vecchio documento di attestazione. Non utilizzato per l'attestazione con. AWS KMS

Per recuperare il documento di attestazione

Utilizzate il comando seguente e i parametri opzionali:


/usr/bin/nitro-tpm-attest \
--public-key rsa_public_key \
--user-data user_data \
--nonce nonce

Per un esempio completo che mostra come generare una coppia di chiavi RSA e come richiedere un attestato con la chiave pubblica, consulta il nitro-tpm-attest GitHub repository.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Preparati AWS KMS per l'attestazione

Documento di attestazione NitroTPM