Hardware-Attestation
Was ist Hardware-Attestation?
Hardware-AttestationKryptografisches Protokoll, mit dem ein Geraet einem entfernten Verifier seine Identitaet und Softwaremessungen ueber einen in manipulationssicherer Hardware verankerten Schluessel nachweist.
Hardware-Attestation erlaubt es einem entfernten Verifier, kryptografisch zu pruefen, dass ein Geraet echt ist und einen erwarteten Software-Stack ausfuehrt. Das Geraet signiert eine Quote seiner Boot- und Laufzeitmessungen (PCRs, TCB-Version, Code-Hashes) mit einem Attestation Key, der aus einer Hardware-Vertrauenswurzel abgeleitet ist - typischerweise dem TPM Endorsement Key, dem Attestation Key von Intel SGX/TDX bzw. AMD SEV-SNP (VCEK/VLEK) oder einem DICE-CDI (Compound Device Identifier). Standards sind TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation und Apple App Attest. Einsatzgebiete reichen von Confidential Computing ueber FIDO2-Geraeteattestation und Secure-Boot-Policy bis zu Software-Supply-Chain-Integritaet und Zero-Trust-Geraeteposture.
● Beispiele
- 01
Confidential VMs senden vor der Schluesselfreigabe einen SEV-SNP-Attestation-Report.
- 02
Android Key Attestation beweist, dass ein privater Schluessel in StrongBox/TEE erzeugt wurde.
● Häufige Fragen
Was ist Hardware-Attestation?
Kryptografisches Protokoll, mit dem ein Geraet einem entfernten Verifier seine Identitaet und Softwaremessungen ueber einen in manipulationssicherer Hardware verankerten Schluessel nachweist. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet Hardware-Attestation?
Kryptografisches Protokoll, mit dem ein Geraet einem entfernten Verifier seine Identitaet und Softwaremessungen ueber einen in manipulationssicherer Hardware verankerten Schluessel nachweist.
Wie funktioniert Hardware-Attestation?
Hardware-Attestation erlaubt es einem entfernten Verifier, kryptografisch zu pruefen, dass ein Geraet echt ist und einen erwarteten Software-Stack ausfuehrt. Das Geraet signiert eine Quote seiner Boot- und Laufzeitmessungen (PCRs, TCB-Version, Code-Hashes) mit einem Attestation Key, der aus einer Hardware-Vertrauenswurzel abgeleitet ist - typischerweise dem TPM Endorsement Key, dem Attestation Key von Intel SGX/TDX bzw. AMD SEV-SNP (VCEK/VLEK) oder einem DICE-CDI (Compound Device Identifier). Standards sind TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation und Apple App Attest. Einsatzgebiete reichen von Confidential Computing ueber FIDO2-Geraeteattestation und Secure-Boot-Policy bis zu Software-Supply-Chain-Integritaet und Zero-Trust-Geraeteposture.
Wie schützt man sich gegen Hardware-Attestation?
Schutzmaßnahmen gegen Hardware-Attestation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Hardware-Attestation?
Übliche alternative Bezeichnungen: Remote Attestation, Geraeteattestation.
● Verwandte Begriffe
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions, ein CPU-Befehlssatz, der verschluesselte Speicher-Enklaven schafft, um Code und Daten vor kompromittiertem OS oder Hypervisor zu schuetzen.
- cryptography№ 044
AMD SEV / SEV-SNP
AMD-EPYC-Technologie, die den Speicher jeder virtuellen Maschine verschluesselt und integritaetsgeschuetzt isoliert - selbst vor einem boesartigen oder kompromittierten Hypervisor.
- cryptography№ 981
Secure Boot
UEFI-Funktion, die jede Bootkomponente kryptografisch verifiziert und Bootloader, Kernel oder Treiber ablehnt, die nicht von einer vertrauenswurdigen Stelle signiert sind.
- cloud-security№ 208
Confidential Computing
Schutz von Daten während ihrer Verarbeitung, indem Workloads in hardwarebasierten Trusted Execution Environments laufen, die sie von Host und Cloud-Betreiber isolieren.
● Siehe auch
- № 060ARM TrustZone
- № 679Microsoft Pluton