NitroTPM アテステーションドキュメントを取得する - Amazon Elastic Compute Cloud
nitro-tpm-attest ユーティリティをインストールするnitro-tpm-attest ユーティリティを使用する

NitroTPM アテステーションドキュメントを取得する

アテステーションドキュメントは、NitroTPM アテステーションプロセスの主要なコンポーネントです。これには、インスタンスのアイデンティティを検証し、信頼できるソフトウェアのみを実行していることを証明するために使用できる一連の暗号化測定値が含まれています。AWS KMS を持つアテステーションドキュメントを使用して、NitroTPM アテステーションの組み込みサポートを利用したり、独自の暗号化アテステーションメカニズムを構築したりできます。

nitro-tpm-attest ユーティリティを使用すると、実行時に Amazon EC2 インスタンスの署名付き NitroTPM アテステーションドキュメントを取得できます。

Amazon Linux 2023 のサンプルイメージの説明では、/usr/bin/ ディレクトリのビルド済みイメージにユーティリティが自動的にインストールされます。これにより、AMI を使用して起動されたインスタンスにユーティリティがプリインストールされます。ユーティリティを手動でインストールする必要はありません。詳細については、「Amazon Linux 2023 のサンプルイメージの説明を作成する」を参照してください。

トピック

nitro-tpm-attest ユーティリティをインストールする

Amazon Linux 2023 を使用している場合は、次のように Amazon Linux リポジトリから nitro-tpm-attest ユーティリティをインストールできます。

sudo yum install aws-nitro-tpm-tools

nitro-tpm-attest ユーティリティを使用する

ユーティリティには、アテステーションドキュメントを取得するための単一のコマンド nitro-tpm-attest が用意されています。コマンドからは、Concise Binary Object Representation (CBOR) でエンコードされ、CBOR Object Signing and Encryption (COSE) を使用して署名されたアテステーションドキュメントが返されます。

コマンドの実行時に以下のパラメータをオプションで指定できます。

  • public-key – レスポンスデータが返される前に暗号化するために AWS KMS または外部サービスが使用できるパブリックキー。これにより、プライベートキーを所有している本来の受信者のみがデータを復号できます。例えば、AWS KMS でアテステーションを行う場合、サービスはアテステーションドキュメントのパブリックキーを使用してプレーンテキストデータを暗号化し、結果の暗号文をレスポンスの CiphertextForRecipient フィールドに返します。RSA キーのみがサポートされています。

  • user-data – ユーザーデータを使用して、追加の署名付きデータを外部サービスに配信できます。このユーザーデータは、リクエスト元のインスタンスと外部サービスとの間で合意されたプロトコルを完了するために使用できます。AWS KMS でのアテステーションには使用されません。

  • nonce – ノンスを使用してインスタンスと外部サービス間のチャレンジレスポンス認証を設定し、なりすまし攻撃を防ぐことができます。ノンスを使用すると、外部サービスは、インスタンスとライブでやり取りしていて、古いアテステーションドキュメントを再利用している偽装者とのやり取りではないことを確認できます。AWS KMS でのアテステーションには使用されません。

アテステーションドキュメントを取得するには

以下のコマンドとオプションのパラメータを使用します。

/usr/bin/nitro-tpm-attest \
--public-key rsa_public_key \
--user-data user_data \
--nonce nonce

RSA キーペアを生成する方法と、パブリックキーによるアテステーションをリクエストする方法を示す完全な例については、nitro-tpm-attest GitHub リポジトリを参照してください。