NitroTPM 증명 문서 콘텐츠 - Amazon Elastic Compute Cloud

NitroTPM 증명 문서 콘텐츠

증명 문서는 NitroTPM에서 생성되며 Nitro 하이퍼바이저에서 서명됩니다. 여기에는 Amazon EC2 인스턴스와 관련된 일련의 플랫폼 구성 레지스터(PCR) 값이 포함됩니다. 다음 PCR이 증명 문서에 포함됩니다.

중요

PCR0 및 PCR1은 일반적으로 AWS에 의해 제어되는 초기 부팅 코드를 측정하는 데 사용됩니다. 초기 부팅 코드를 안전하게 업데이트할 수 있도록 이러한 PCR에는 항상 상수 값이 포함됩니다.

  • PCR0 - 코어 시스템 펌웨어 실행 코드

  • PCR1 - 코어 시스템 펌웨어 데이터

  • PCR2 - 확장 또는 플러그형 실행 코드

  • PCR3 - 확장 또는 플러그형 펌웨어 데이터

  • PCR4 - 부트 관리자 코드

  • PCR5 - 부트 관리자 코드 구성, 데이터 및 GPT 파티션 테이블

  • PCR6 - 호스트 플랫폼 제조업체 세부 정보

  • PCR7 - 보안 부팅 정책

  • PCR8 - 15 - 정적 운영 체제에서 사용하도록 정의됨

  • PCR16 - 디버그

  • PCR23 - 애플리케이션 지원

PCR4PCR7은 특히 인스턴스가 증명 가능한 AMI를 사용하여 시작되었는지 검증하는 데 사용됩니다. PCR4는 표준 부팅으로 검증하는 데 사용할 수 있고 PCR7은 보안 부팅으로 검증하는 데 사용할 수 있습니다.

  • PCR4(부트 관리자 코드) - 인스턴스가 시작되면 NitroTPM은 UEFI 환경에서 실행되는 모든 바이너리의 암호화 해시를 생성합니다. 증명 가능한 AMI를 사용하면 이러한 부트 바이너리에 일치하는 해시가 없는 바이너리의 향후 로드를 방지하는 해시가 포함되어 있습니다. 이러한 방법으로 단일 부트 바이너리 해시는 인스턴스가 실행할 코드를 정확하게 설명할 수 있습니다.

  • PCR7(보안 부팅 정책) - UEFI 보안 부팅 서명 키로 UEFI 부팅 바이너리에 서명할 수 있습니다. UEFI 보안 부팅이 활성화되면 UEFI는 구성된 정책과 일치하지 않는 UEFI 부팅 바이너리의 실행을 방지합니다. PCR7에는 인스턴스의 UEFI 보안 부팅 정책의 해시가 포함되어 있습니다.

    인스턴스 업데이트 전반에 걸쳐 지속되는 단일 KMS 정책을 유지해야 하는 경우 PCR7로 검증하는 정책을 생성하여 UEFI 보안 부팅 인증서를 검증할 수 있습니다. 증명 가능한 AMI를 생성하는 동안 인증서로 부트 바이너리에 서명하고 AMI의 UEFI 데이터에서 유일하게 허용되는 인증서로 설치할 수 있습니다. 이전의 신뢰할 수 없는 AMI에서 시작된 인스턴스가 KMS 정책을 통과하지 못하게 하려는 경우에도 이 모델에서는 여전히 새 인증서를 생성하고 정책에 설치한 후 AMI를 업데이트해야 합니다.