NitroTPM 驗證文件內容 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

NitroTPM 驗證文件內容

驗證文件由 NitroTPM 生成,且由 Nitro Hypervisor 簽署。該文件包含一系列與 Amazon EC2 執行個體相關的平台組態暫存器 (PCR) 值。驗證文件包括下面的 PCR:

重要

PCR0 與 PCR1 一般用於測量由 AWS控制的初始啟動碼。如需允許早期啟動程式碼進行安全更新,這些 PCR 始終會含常數值。

  • PCR0 – 核心系統韌體可執行程式碼

  • PCR1 – 核心系統韌體資料

  • PCR2 – 延伸或插入式可執行程式碼

  • PCR3 – 延伸或插入式韌體資料

  • PCR4 – 啟動管理員程式碼

  • PCR5 – 啟動管理員程式碼組態及資料與 GPT 分區資料表

  • PCR6 – 主機平台製造商規格

  • PCR7 – 安全啟動政策

  • PCR8 - 15 – 定義用於靜態作業系統

  • PCR16 – 偵錯

  • PCR23 – 應用程式支援

PCR4PCR7PCR12 專門用於驗證執行個體是否使用可證明的 AMI 啟動。PCR4 和 PCR12 可用於使用標準開機進行驗證,而 PCR7 可用於使用安全開機進行驗證。

  • PCR4 (啟動管理員程式碼) – 若執行個體啟動,NitroTPM 可建立其 UEFI 環境執行的全部二進位檔的密碼編譯雜湊。藉助可驗證的 AMI,這些啟動二進位檔可嵌入雜湊,以阻止未來載入無相符雜湊的二進位檔。這樣一來,單一啟動二進位雜湊可準確描述執行個體會執行的程式碼。

  • PCR7 (安全啟動政策) – 您可透過 UEFI 安全啟動簽署金鑰,來簽署 UEFI 啟動二進位檔。若啟動 UEFI 安全啟動,UEFI 將會阻止執行與設定政策不相符的 UEFI 啟動二進位檔。PCR7 包含執行個體 UEFI 安全啟動政策的雜湊。

    若需要維護跨執行個體更新持續存在的單一 KMS 政策,您可建立一項針對 PCR7 進行驗證的政策,以便確認 UEFI 安全啟動憑證。建立可驗證的 AMI 期間,您隨後可透過憑證來簽署啟動二進位檔,然後做為 AMI 的 UEFI 資料中唯一允許的憑證進行安裝。請謹記,此模型仍要求生成新的憑證、在政策中安裝憑證,以及在您想要阻止透過舊的 (不可信) AMI 啟動的執行個體來傳遞 KMS 政策的情況下更新 AMI。

  • PCR12 — 包含傳遞給 UEFI 開機二進位檔的命令列雜湊。搭配 PCR4 進行標準開機,以驗證命令列未修改時需要。