Attestation materielle
Qu'est-ce que Attestation materielle ?
Attestation materielleProtocole cryptographique par lequel un appareil prouve son identite et ses mesures logicielles a un verificateur distant via une cle ancree dans un materiel inviolable.
L'attestation materielle permet a un verificateur distant de constater cryptographiquement qu'un appareil est authentique et execute la pile logicielle attendue. L'appareil signe une citation de ses mesures de demarrage et d'execution (PCR, version TCB, hachages de code) avec une cle d'attestation derivee d'une racine de confiance materielle - generalement la cle d'endossement (EK) d'un TPM, la cle d'attestation Intel SGX/TDX ou AMD SEV-SNP (VCEK/VLEK), ou un Compound Device Identifier (CDI) derive de DICE. Les standards incluent TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation et Apple App Attest. Les cas d'usage couvrent le confidential computing, l'attestation FIDO2, l'application des politiques de secure boot, l'integrite de la chaine logicielle et la posture d'appareil zero trust.
● Exemples
- 01
Les VM confidentielles envoient un rapport d'attestation SEV-SNP avant la liberation des cles.
- 02
L'attestation de cles Android prouve qu'une cle privee a ete generee dans StrongBox/TEE.
● Questions fréquentes
Qu'est-ce que Attestation materielle ?
Protocole cryptographique par lequel un appareil prouve son identite et ses mesures logicielles a un verificateur distant via une cle ancree dans un materiel inviolable. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie Attestation materielle ?
Protocole cryptographique par lequel un appareil prouve son identite et ses mesures logicielles a un verificateur distant via une cle ancree dans un materiel inviolable.
Comment fonctionne Attestation materielle ?
L'attestation materielle permet a un verificateur distant de constater cryptographiquement qu'un appareil est authentique et execute la pile logicielle attendue. L'appareil signe une citation de ses mesures de demarrage et d'execution (PCR, version TCB, hachages de code) avec une cle d'attestation derivee d'une racine de confiance materielle - generalement la cle d'endossement (EK) d'un TPM, la cle d'attestation Intel SGX/TDX ou AMD SEV-SNP (VCEK/VLEK), ou un Compound Device Identifier (CDI) derive de DICE. Les standards incluent TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation et Apple App Attest. Les cas d'usage couvrent le confidential computing, l'attestation FIDO2, l'application des politiques de secure boot, l'integrite de la chaine logicielle et la posture d'appareil zero trust.
Comment se défendre contre Attestation materielle ?
Les défenses contre Attestation materielle combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attestation materielle ?
Noms alternatifs courants : Attestation distante, Attestation de peripherique.
● Termes liés
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions, jeu d'instructions creant des enclaves memoire chiffrees pour proteger code et donnees d'un OS ou d'un hyperviseur compromis.
- cryptography№ 044
AMD SEV / SEV-SNP
Technologie AMD EPYC qui chiffre et protege l'integrite de la memoire de chaque machine virtuelle, isolant les invites d'un hyperviseur malveillant ou compromis.
- cryptography№ 981
Secure Boot
Fonctionnalite UEFI qui verifie la signature cryptographique de chaque composant de demarrage, refusant tout bootloader, noyau ou pilote non signe par une autorite de confiance.
- cloud-security№ 208
Informatique confidentielle
Protéger les données pendant leur traitement en exécutant les charges dans des environnements d'exécution de confiance matériels isolés de l'hôte et de l'opérateur cloud.
● Voir aussi
- № 060ARM TrustZone
- № 679Microsoft Pluton