NitroTPM pour les instances Amazon EC2

Nitro Trusted Platform Module (NitroTPM) est un périphérique virtuel fourni par l’AWS  Nitro System et est conforme aux spécifications TPM 2.0. Il stocke en toute sécurité les artefacts (tels que les mots de passe, les certificats ou les clés de chiffrement) utilisés pour authentifier l’instance. NitroTPM peut générer des clés et les utiliser pour des fonctions cryptographiques (telles que le hachage, la signature, le chiffrement et le déchiffrement).

NitroTPM assure un démarrage mesuré, un processus lors duquel le chargeur de démarrage et le système d’exploitation créent des hachages cryptographiques de chaque binaire de démarrage et les combinent avec les valeurs précédentes des registres de configuration de plateforme (PCR) internes NitroTPM. Avec le démarrage mesuré, vous pouvez obtenir des valeurs PCR signées de NitroTPM et les utiliser pour prouver aux entités distantes l’intégrité du logiciel de démarrage de l’instance. Cela porte le nom d’attestation distante.

Avec NitroTPM, les clés et les secrets peuvent être étiquetés avec une valeur PCR spécifique ; ce faisant, leur accès est interdit en cas de modification de la valeur de la PCR, et donc de l’intégrité de l’instance. Cette forme spéciale d’accès conditionnel est appelée scellement et descellement. Les technologies des systèmes d'exploitation BitLocker, telles que NitroTPM, peuvent utiliser NitroTPM pour sceller une clé de déchiffrement du lecteur afin que le lecteur ne puisse être déchiffré que lorsque le système d'exploitation a démarré correctement et qu'il est dans un état connu comme bon.

Pour utiliser NitroTPM, vous devez sélectionner une Amazon Machine Image (AMI) configurée pour la prise en charge de NitroTPM, puis utiliser l'AMI pour lancer des instances. Nitro-based Vous pouvez sélectionner l'une des AMI prédéfinies d'Amazon ou en créer une vous-même.

Tarification

L’utilisation de NitroTPM n’entraîne aucun coût supplémentaire. Vous payez uniquement les ressources sous-jacentes que vous utilisez.