Atestacao em hardware
O que é Atestacao em hardware?
Atestacao em hardwareProtocolo criptografico em que um dispositivo prova a sua identidade e medicoes de software a um verificador remoto com uma chave ancorada em hardware resistente a violacao.
A atestacao em hardware permite que um verificador remoto comprove criptograficamente que um dispositivo e autentico e executa a pilha de software esperada. O dispositivo assina uma citacao das suas medicoes de arranque e execucao (PCRs, versao do TCB, hashes de codigo) com uma chave de atestacao derivada de uma raiz de confianca em hardware - tipicamente a Endorsement Key do TPM, a chave de atestacao Intel SGX/TDX ou AMD SEV-SNP (VCEK/VLEK), ou um Compound Device Identifier (CDI) derivado por DICE. Os padroes incluem TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation e Apple App Attest. Os casos de uso abrangem confidential computing, atestacao FIDO2, politicas de arranque seguro, integridade da cadeia de software e postura zero trust.
● Exemplos
- 01
VMs confidenciais enviam um relatorio de atestacao SEV-SNP antes da libertacao de chaves.
- 02
A atestacao de chaves Android prova que uma chave privada foi gerada em StrongBox/TEE.
● Perguntas frequentes
O que é Atestacao em hardware?
Protocolo criptografico em que um dispositivo prova a sua identidade e medicoes de software a um verificador remoto com uma chave ancorada em hardware resistente a violacao. Pertence à categoria Criptografia da cibersegurança.
O que significa Atestacao em hardware?
Protocolo criptografico em que um dispositivo prova a sua identidade e medicoes de software a um verificador remoto com uma chave ancorada em hardware resistente a violacao.
Como funciona Atestacao em hardware?
A atestacao em hardware permite que um verificador remoto comprove criptograficamente que um dispositivo e autentico e executa a pilha de software esperada. O dispositivo assina uma citacao das suas medicoes de arranque e execucao (PCRs, versao do TCB, hashes de codigo) com uma chave de atestacao derivada de uma raiz de confianca em hardware - tipicamente a Endorsement Key do TPM, a chave de atestacao Intel SGX/TDX ou AMD SEV-SNP (VCEK/VLEK), ou um Compound Device Identifier (CDI) derivado por DICE. Os padroes incluem TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation e Apple App Attest. Os casos de uso abrangem confidential computing, atestacao FIDO2, politicas de arranque seguro, integridade da cadeia de software e postura zero trust.
Como se defender contra Atestacao em hardware?
As defesas contra Atestacao em hardware costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Atestacao em hardware?
Nomes alternativos comuns: Atestacao remota, Atestacao de dispositivo.
● Termos relacionados
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions, conjunto de instrucoes da CPU que cria enclaves de memoria cifrada para proteger codigo e dados de um SO ou hipervisor comprometido.
- cryptography№ 044
AMD SEV / SEV-SNP
Tecnologia AMD EPYC que cifra e protege a integridade da memoria de cada maquina virtual, isolando os convidados de um hipervisor malicioso ou comprometido.
- cryptography№ 981
Arranque Seguro (Secure Boot)
Funcionalidade UEFI que verifica a assinatura criptografica de cada componente de arranque, recusando bootloaders, kernels ou drivers nao assinados por uma autoridade confiavel.
- cloud-security№ 208
Computação confidencial
Proteger os dados durante o processamento, executando as cargas dentro de Ambientes de Execução Confiáveis baseados em hardware, isolando-as do host e do operador cloud.
● Veja também
- № 060ARM TrustZone
- № 679Microsoft Pluton