TPM 2.0: Afinal, é Realmente Essencial para a Segurança

Instâncias bare-metal impulsionam os benchmarks da CodSpeed, exigindo que cada máquina prove ser o hardware originalmente registrado, e não um servidor trocado ou adulterado. Chaves privadas armazenadas em disco não podem garantir isso, pois qualquer pessoa com acesso suficiente pode copiá-las.

O TPM 2.0 resolve este problema mantendo chaves privadas dentro de um chip dedicado na placa-mãe e expondo apenas comandos restritos através do TSS. A Chave de Endosso (EK), provisionada pelo fabricante, identifica o TPM e serve apenas para descriptografar dados. Uma Chave de Atribuição (AK), criada sob a hierarquia da EK, assina desafios e medições. Através de ActivateCredential, o sistema verifica que a AK reside no mesmo TPM genuíno que a EK, então usa desafios assinados pela AK durante a inicialização para confirmar a identidade do hardware.