NitroTPM para instâncias do Amazon EC2

O Nitro Trusted Platform Module (NitroTPM) é um dispositivo virtual fornecido pelo AWS Nitro System que está em conformidade com a especificação TPM 2.0. Armazena, com segurança, artefatos (como senhas, certificados ou chaves de criptografia) que são usados para autenticar a instância. O NitroTPM pode gerar chaves e usá-las em funções criptográficas (como hash, assinatura, criptografia e descriptografia).

O NitroTPM fornece inicialização medida, um processo em que o carregador de inicialização e o sistema operacional criam hashes criptográficos de cada binário de inicialização e os combinam aos valores anteriores nos registros de configuração de plataforma (PCRs) internos do NitroTPM. Com a inicialização medida, é possível obter valores de PCR assinados do NitroTPM e usá-los para provar às entidades remotas a integridade do software de inicialização da instância. Isto é conhecido como atestado remoto.

Com o NitroTPM, chaves e segredos podem ser marcados com um valor de PCR específico de modo que nunca possam ser acessados se houver alteração no valor da PCR e, portanto, na integridade da instância. Essa forma especial de acesso condicional é chamada de selagem e desselagem. Tecnologias de sistema operacional, como BitLocker, podem usar o NitroTPM para selar uma chave de descriptografia da unidade, de modo que a unidade só possa ser descriptografada quando o sistema operacional for inicializado corretamente e estiver em bom estado.

Para usar o NitroTPM, é necessário selecionar uma imagem de máquina da Amazon (AMI) que foi configurada para ser compatível com o NitroTPM e depois usá-la para executar instâncias baseadas em Nitro. É possível selecionar uma das AMIs pré-criadas da Amazon ou criar a sua própria.

Preços

Não há custo adicional para usar o NitroTPM. Você paga apenas pelos recursos adjacentes que usar.