NitroTPM per istanze Amazon EC2

Nitro Trusted Platform Module (NitroTPM) è un dispositivo virtuale fornito da AWS Nitro System e conforme alle specifiche TPM 2.0. Archivia in modo sicuro gli artefatti (come password, certificati o chiavi di crittografia) utilizzati per autenticare l'istanza. NitroTPM può generare chiavi e utilizzarle per funzioni crittografiche (come hashing, firma, crittografia e decrittografia).

NitroTPM fornisce l'avvio misurato, un processo in cui il bootloader e il sistema operativo creano hash crittografici di ogni binario di avvio e li combinano con i valori precedenti nei PCR (Platform Configuration Registers) interni di NitroTPM. Con l'avvio misurato, è possibile ottenere valori PCR firmati da NitroTPM e utilizzarli per dimostrare alle entità remote l'integrità del software di avvio dell'istanza. Questo è noto come attestazione remota.

Con NitroTPM, è possibile taggare chiavi e segreti con un valore PCR specifico in modo da renderli sempre inaccessibili se il valore del PCR, e quindi l'integrità dell'istanza, cambia. Questa speciale forma di accesso condizionale è indicata come sealing e annullamento del sealing. Le tecnologie del sistema operativo, ad esempio BitLocker, possono utilizzare NitroTPM per sigillare una chiave di decrittografia dell'unità in modo che l'unità possa essere decrittografata solo quando il sistema operativo è stato avviato correttamente e si trova in un buono stato noto.

Per utilizzare NitroTPM, devi selezionare un'Amazon Machine Image (AMI) configurata per il supporto NitroTPM, quindi utilizzare l'AMI per avviare le istanze. Nitro-based È possibile selezionare una delle AMI predefinite di Amazon o crearne una direttamente.

Prezzi

L'utilizzo di NitroTPM non prevede costi aggiuntivi. È previsto un pagamento solo per le risorse sottostanti utilizzate.