ハードウェア証明
ハードウェア証明 とは何ですか?
ハードウェア証明改ざん耐性ハードウェアに根ざした鍵で、デバイスが自身のアイデンティティとソフトウェア測定値をリモート検証者に暗号学的に証明するプロトコル。
ハードウェア証明は、リモート検証者がデバイスの真正性と期待されるソフトウェアスタックの実行を暗号学的に確認するための仕組みです。デバイスはブート時およびランタイムの測定値(PCR、TCB バージョン、コードハッシュ)に対し、ハードウェア信頼の起点から導出された証明鍵で署名します。鍵は通常、TPM の Endorsement Key、Intel SGX/TDX や AMD SEV-SNP の証明鍵(VCEK/VLEK)、または DICE 由来の Compound Device Identifier(CDI)から得られます。標準としては TCG Remote Attestation Procedures(RATS、RFC 9334)、DICE、Android Key Attestation、Apple App Attest があります。用途は機密計算、FIDO2 デバイス証明、セキュアブートポリシー、ソフトウェア供給網の完全性、ゼロトラストのデバイス姿勢評価など多岐にわたります。
● 例
- 01
機密 VM は鍵を受け取る前に SEV-SNP 証明レポートを依存先へ提示する。
- 02
Android Key Attestation により秘密鍵が StrongBox/TEE で生成されたことを証明する。
● よくある質問
ハードウェア証明 とは何ですか?
改ざん耐性ハードウェアに根ざした鍵で、デバイスが自身のアイデンティティとソフトウェア測定値をリモート検証者に暗号学的に証明するプロトコル。 サイバーセキュリティの 暗号 カテゴリに属します。
ハードウェア証明 とはどういう意味ですか?
改ざん耐性ハードウェアに根ざした鍵で、デバイスが自身のアイデンティティとソフトウェア測定値をリモート検証者に暗号学的に証明するプロトコル。
ハードウェア証明 はどのように機能しますか?
ハードウェア証明は、リモート検証者がデバイスの真正性と期待されるソフトウェアスタックの実行を暗号学的に確認するための仕組みです。デバイスはブート時およびランタイムの測定値(PCR、TCB バージョン、コードハッシュ)に対し、ハードウェア信頼の起点から導出された証明鍵で署名します。鍵は通常、TPM の Endorsement Key、Intel SGX/TDX や AMD SEV-SNP の証明鍵(VCEK/VLEK)、または DICE 由来の Compound Device Identifier(CDI)から得られます。標準としては TCG Remote Attestation Procedures(RATS、RFC 9334)、DICE、Android Key Attestation、Apple App Attest があります。用途は機密計算、FIDO2 デバイス証明、セキュアブートポリシー、ソフトウェア供給網の完全性、ゼロトラストのデバイス姿勢評価など多岐にわたります。
ハードウェア証明 からどのように防御しますか?
ハードウェア証明 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ハードウェア証明 の別名は何ですか?
一般的な別名: リモート証明, デバイス証明。
● 関連用語
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions。暗号化されたメモリ領域(エンクレーブ)を生成し、侵害された OS やハイパーバイザからコードとデータを保護する CPU 命令セット。
- cryptography№ 044
AMD SEV / SEV-SNP
AMD EPYC が各仮想マシンのメモリを暗号化し完全性を保護することで、悪意あるあるいは侵害されたハイパーバイザからゲストを隔離する技術。
- cryptography№ 981
セキュアブート(Secure Boot)
起動の各コンポーネントの暗号署名を検証する UEFI 機能。信頼された発行元の署名がないブートローダー、カーネル、ドライバーの実行を拒否する。
- cloud-security№ 208
コンフィデンシャルコンピューティング
ハードウェアベースの TEE 内でワークロードを動かし、ホストやクラウド運用者から隔離した状態で処理中のデータを保護する技術。
● 関連項目
- № 060ARM TrustZone
- № 679Microsoft Pluton