En este documento, se explica qué componentes se miden en los registros de medición para las diferentes tecnologías de Confidential Computing.
Registros de configuración de la plataforma del vTPM
Cada registro de configuración de la plataforma (PCR) en un vTPM de VM confidencial contiene tres bancos para resúmenes SHA-1, SHA-256 y SHA-384.
El uso de los PCR del 0 al 7 se estandariza aproximadamente en las siguientes especificaciones:
El sistema operativo o la plataforma usan los PCR superiores a 7 de otras maneras específicas. Para obtener más detalles, consulta Linux TPM PCR Registry.
Las instancias de Confidential VM miden los siguientes componentes en sus PCR de vTPM:
| Índice | Qué se mide | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 0 |
Medición estática de la raíz de confianza (SRTM), BIOS y ROM de opciones integradas. El PCR 0 de las UEFI de Compute Engine no es estándar según la especificación del perfil de firmware de Trusted Computing Group, ya que no incluye una medición de la totalidad del BLOB binario del firmware. Esto es para la estabilidad. Cada instancia de VM de Compute Engine que se inicia se considera una máquina nueva que se inicia con la versión de firmware virtual más reciente. Si se omite la medición del BLOB binario del firmware, la verificación de la certificación no se interrumpe por los cambios del firmware que no se basan en la seguridad o que se produjeron como resultado de cambios en la cadena de herramientas. El PCR 0 es estable durante el ciclo de vida de una sola VM, incluso en reinicios y actualizaciones de software. Esto no es cierto en dos ciclos de vida de VM diferentes, incluso con la misma imagen. Confidential VM mide dos eventos adicionales en el PCR 0:
Los valores del evento
|
||||||||||||
| 1 | Configuración de la plataforma host, incluido el orden de arranque, las entradas de arranque, las actualizaciones de microcódigo y los volúmenes de firmware. | ||||||||||||
| 2 | Código de la aplicación y del controlador de UEFI. | ||||||||||||
| 3 | Datos y configuración de la aplicación y el controlador de UEFI | ||||||||||||
| 41 | Eventos de medición de aplicaciones ejecutables portátiles (PE) o de formato de archivo de objeto común (COFF) de EFI (por ejemplo, cargadores de arranque), que indican la transición de UEFI a la primera aplicación de EFI | ||||||||||||
| 5 |
Medición de GPT (cuando la opción de arranque usa GPT),
ExitBootServices.
|
||||||||||||
| 6 | Específico del fabricante de la plataforma host, no se usa en la implementación de referencia de EDK II. | ||||||||||||
| 71 |
Política de Secure Boot. Incluye las siguientes variables de UEFI:
El PCR 7 permanece estable, siempre y cuando el estado de Arranque seguro y la jerarquía de firma sigan siendo los mismos. Dos imágenes diferentes, siempre que estén firmadas con la misma clave y usen la misma jerarquía de claves, generan el mismo valor de PCR 7. |
||||||||||||
| 8 | Todos los comandos que ejecuta el cargador de arranque GRUB y las líneas de comandos del kernel y del módulo resultantes. | ||||||||||||
| 9 | Todos los archivos que lee GRUB, como grub.cfg. |
||||||||||||
| 10 | Integridad del kernel, que usa la arquitectura de medición de integridad (IMA) de Linux. | ||||||||||||
| 13 | Mediciones de configuración y carga de trabajo para entornos de Confidential Space | ||||||||||||
| 141 | Estado de la clave del propietario de la máquina (MOK) shim. |
1 Según la configuración, el shim también extiende las mediciones a los PCR 4, 7 y 14.
Registro de medición de AMD SEV-SNP
El procesador seguro de AMD tiene un solo registro de lanzamiento MEASUREMENT. Al igual que otros registros de medición de Confidential Computing, las mediciones se generan con hash y se encadenan para producir un resumen final. En el caso de AMD SEV-SNP, se usa el algoritmo SHA-384.
Los siguientes componentes se miden y contribuyen al resumen final:
Es el firmware virtual de la instancia de VM.
La estructura, pero no el contenido de las siguientes páginas de memoria:
La página de memoria segura del SNP, que representa un bloque de memoria que el firmware virtual requiere que el hipervisor valide previamente antes de que se pueda iniciar la VM.
La página Secrets, que contiene las claves que se usan para la comunicación entre el invitado y el procesador seguro de AMD
La página CPUID, que contiene las funciones de CPU verificadas.
Es el área de almacenamiento de la máquina virtual (VMSA) para cada CPU virtual asignada a la instancia de VM confidencial. Si la VM tiene varias CPU virtuales, cada VMSA se genera como hash de forma individual en la cadena en orden secuencial.
También puedes acceder a las mediciones del vTPM de la VM protegida, aunque, a diferencia del procesador seguro de AMD, las mediciones se certifican por software en lugar de por hardware.
Registros de medición de Intel TDX
Intel TDX usa los siguientes registros de medición:
Medición del dominio de confianza (MRTD)
Registros de medición del tiempo de ejecución (RTMR)
Cada registro almacena un resumen SHA-384.
Las instancias de Confidential VM miden los siguientes componentes en los registros de medición de Intel TDX:
| Registro de mediciones | Qué se mide |
|---|---|
MRTD |
Firmware virtual del dominio de confianza (TDVF), que se toma durante el proceso de compilación del TD. |
RTMR[0] |
Configuración de TDVF (bloque de entrega de TD, ACPI, configuración de arranque seguro) |
RTMR[1] |
Cargador de TD (GRUB/shim). |
RTMR[2] |
El kernel y la línea de comandos que se pasan al kernel. |
RTMR[3] (User-defined) |
Es la medición de registros de eventos adicionales que se pasa desde el espacio del usuario. |
También puedes acceder a las mediciones de vTPM de la VM protegida, aunque, a diferencia del módulo Intel TDX, las mediciones se atestiguan por software en lugar de por hardware.