如何配置NitroTPM

Question

【以下的问题经过翻译处理】 我创建了一个启用了NitroTPM的Ubuntu EC2实例。尝试使用tpm2\_getekcertificate或tpm2\_nvreadpublic获取EK密钥时，均失败：

tpm2\_getekcertificate
======================

错误：必须指定EK公钥路径

tpm2\_nvreadpublic 0x01c0002 (RSA\_EK\_CERT\_NV\_INDEX)
=======================================================

警告：esys：src/tss2-esys/api/Esys\_NV\_ReadPublic.c：309：Esys\_NV\_ReadPublic\_Finish()收到TPM错误

错误：esys：src/tss2-esys/esys\_tr.c：210：Esys\_TR\_FromTPMPublic\_Finish() NV\_ReadPublic ErrorCode错误（0x0000018b）

错误：esys：src/tss2-esys/esys\_tr.c：321：Esys\_TR\_FromTPMPublic() TR FromTPMPublic ErrorCode错误（0x0000018b）

错误：Esys\_TR\_FromTPMPublic(0x18B) - tpm:handle(1):the handle is not correct for the use

错误：无法读取NV索引0x11C0002的公共部分

错误：无法运行tpm2\_nvreadpublic

看起来TPM未进行配置。如何配置NitroTPM？谢谢。

Answer

【以下的回答经过翻译处理】 您好，谢谢您的帖子。

据我所知，您正在尝试使用 tpm2_getekcertificate 或 tpm2_nvreadpublic 检索 EK 密钥，并且使用这两个命令时您都会收到错误。

要验证 TPM 是否已启用，您需要在使用以下命令时验证“BootMode”和“TpmSupport”参数是否存在[1]：

$ aws ec2 describe-instances --instance-ids {instance_id}
$ aws ec2 describe-images --image-ids {ami_id}

您应该找到具有以下值的参数：

BootMode": "uefi",

"TpmSupport": "v2.0",

要配置具有 TPM 支持的实例，您需要确保满足所有先决条件[2]。

至于 EK cert / EK pub 访问，遗憾的是目前不支持。 话虽如此，我可以确认此功能正在开发中，但目前还没有预计时间。 我建议您密切关注 AWS 新闻博客 [3]，了解有关此功能的任何未来公告。
参考：
[1] https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/verify-nitrotpm-support-on-ami.html
[2] https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-nitrotpm-prerequisites.html
[3] https://aws.amazon.com/blogs/aws/

如何配置NitroTPM

tpm2_getekcertificate

tpm2_nvreadpublic 0x01c0002 (RSA_EK_CERT_NV_INDEX)

Relevanter Inhalt