Présentation de l'attestation à distance

L'attestation à distance est un mécanisme de sécurité qui permet de vérifier l'intégrité d'un hôte en réseau. Il utilise un module de plateforme de confiance (TPM) pour prouver cryptographiquement que l'hôte a le matériel, le firmware, le noyau et le système de fichiers racine attendus.

Fonctionnement de l'attestation à distance

Le processus d'attestation à distance repose sur les opérations cryptographiques du TPM. Le TPM expose une interface limitée qui permet d'accéder au matériel cryptographique. Les registres de configuration de plateforme (PCRs) stockent des hachages qui sont mis à jour au cours du processus de démarrage. Si la chaîne de mesure est rompue, les valeurs des PCRs sont altérées.

TPM sealing: material can be stored in the TPM and only unlocked if the PCRs (the ones you chose) check out.

Les clés d'attestation (AK) sont dérivées de la clé d'endorsement (EK) et sont utilisées pour signer les citations du TPM. La clé d'identité de dispositif à portée locale (LDevID) représente l'identité d'un nœud et est utilisée pour signer des données.

Implications et limites de l'attestation à distance

L'attestation à distance offre des garanties fortes sur l'état initial des hôtes, mais elle n'est pas parfaite. Les attaques physiques, comme les taps de mémoire, sont toujours possibles. Cependant, couplée à une détection et à une réponse aux menaces (EDR) robuste et à une politique de gestion des accès (LSM) solide, l'attestation à distance peut aider à prévenir de nombreuses attaques, notamment les attaques de chaîne d'approvisionnement du noyau et des pilotes.

La mise en œuvre de l'attestation à distance peut être complexe et nécessite une planification soigneuse. Cependant, elle offre une opportunité de nettoyer les anciennes configurations et de révéler les problèmes de chaîne d'approvisionnement qui n'avaient pas été pris en compte.