Аппаратная аттестация
Что такое Аппаратная аттестация?
Аппаратная аттестацияКриптографический протокол, с помощью которого устройство доказывает удалённому верификатору свою идентичность и программные измерения ключом, укоренённым в защищённом железе.
Аппаратная аттестация позволяет удалённому верификатору криптографически убедиться, что устройство подлинно и исполняет ожидаемый программный стек. Устройство подписывает «цитату» своих загрузочных и runtime-измерений (PCR, версия TCB, хеши кода) ключом аттестации, выведенным из аппаратного корня доверия — обычно Endorsement Key TPM, ключом аттестации Intel SGX/TDX или AMD SEV-SNP (VCEK/VLEK) либо производным DICE Compound Device Identifier (CDI). К стандартам относятся TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation и Apple App Attest. Применяется в конфиденциальных вычислениях, аттестации устройств FIDO2, контроле политик Secure Boot, целостности цепочки поставки ПО и проверках устройств в моделях zero trust.
● Примеры
- 01
Конфиденциальные ВМ отправляют отчёт аттестации SEV-SNP перед выдачей ключа.
- 02
Android Key Attestation подтверждает, что закрытый ключ создан внутри StrongBox/TEE.
● Частые вопросы
Что такое Аппаратная аттестация?
Криптографический протокол, с помощью которого устройство доказывает удалённому верификатору свою идентичность и программные измерения ключом, укоренённым в защищённом железе. Относится к категории Криптография в кибербезопасности.
Что означает Аппаратная аттестация?
Криптографический протокол, с помощью которого устройство доказывает удалённому верификатору свою идентичность и программные измерения ключом, укоренённым в защищённом железе.
Как работает Аппаратная аттестация?
Аппаратная аттестация позволяет удалённому верификатору криптографически убедиться, что устройство подлинно и исполняет ожидаемый программный стек. Устройство подписывает «цитату» своих загрузочных и runtime-измерений (PCR, версия TCB, хеши кода) ключом аттестации, выведенным из аппаратного корня доверия — обычно Endorsement Key TPM, ключом аттестации Intel SGX/TDX или AMD SEV-SNP (VCEK/VLEK) либо производным DICE Compound Device Identifier (CDI). К стандартам относятся TCG Remote Attestation Procedures (RATS, RFC 9334), DICE, Android Key Attestation и Apple App Attest. Применяется в конфиденциальных вычислениях, аттестации устройств FIDO2, контроле политик Secure Boot, целостности цепочки поставки ПО и проверках устройств в моделях zero trust.
Как защититься от Аппаратная аттестация?
Защита от Аппаратная аттестация обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Аппаратная аттестация?
Распространённые альтернативные названия: Удалённая аттестация, Аттестация устройства.
● Связанные термины
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions — набор команд CPU, создающий зашифрованные анклавы памяти, защищающие код и данные от скомпрометированных ОС или гипервизора.
- cryptography№ 044
AMD SEV / SEV-SNP
Технология AMD EPYC, шифрующая и защищающая целостность памяти каждой виртуальной машины и изолирующая гостей от вредоносного или скомпрометированного гипервизора.
- cryptography№ 981
Secure Boot
Возможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя.
- cloud-security№ 208
Конфиденциальные вычисления
Защита данных во время обработки за счёт исполнения нагрузок в аппаратных доверенных средах исполнения, изолированных от хоста и оператора облака.
● См. также
- № 060ARM TrustZone
- № 679Microsoft Pluton