Arranque Fidedigno (Trusted Boot)

O início fidedigno é uma função de Power Segurança e Conformidade (PowerSC). O Arranque Fidedigno utiliza o Módulo de Plataforma Virtual Fidedigna (VTPM) como é descrito pelo Trusted Computing Group. Podem ser configuradas até 60 partições lógicas por servidor para terem uma única VTPM através da Consola de Gestão de Hardware (HMC). O VTPM é utilizado para registar o arranque do sistema e, associado à tecnologia Trusted Execution de AIX, fornece segurança e garantia à imagem de arranque do disco, em todo o sistema operativo e às camadas de aplicação.

O VTPM é uma software de implementação da especificação do Módulo de Plataforma Fidedigno, tal como é descrito pelo Trusted Computing Group. O Módulo de Plataforma Fidedigna é implementado como um chip físico presente em sistemas informáticos.

Pode criar um VTPM como parte de um particionamento lógico inicial (ao utilizar o assistente de particionamento da HMC) ou pode activar o dispositivo dinamicamente. Quando activar dinamicamente, o VTPM fica activo quando a partição lógica for reiniciada.

O VTPM activa o ambiente AIX da partição lógica para utilizar a capacidade Arranque Fidedigno. Quando o VTPM está associado a uma partição lógica, ao arrancar, os componentes do arranque retiram indexações criptográficas de dados relevantes e de componentes que podem ser executados no futuro, como por exemplo o carregador de arranque AIX. Estas indexações criptográficas são copiadas de forma segura para armazenamento que por sua vez é controlado pelo VTPM. Assim que a partição lógica esteja operacional, os outros utilizadores podem recuperar de forma segura as indexações ao utilizar um processo que é conhecido como atestado remoto. As indexações podem ser examinadas para determinar se a partição lógica arrancou numa configuração segura para que os utilizadores possam agir se for necessário.

Para utilizar um VTPM, a partição lógica tem de conter os seguintes recursos:
  • A definição de memória máxima para a partição lógica tem de ser superior a 1 GB para o perfil activo.
  • Cada VTPM requer um armazenamento permanente para o tempo de vida do dispositivo. Uma partição lógica normal utiliza 6 KB de RAM do sistema não-volátil. Este requisito de armazenamento impõe um limite quanto ao número de VTPMs por ser servidor.

Os dados permanentes que são armazenados pelo VTPM contém informações confidenciais sobre a função VTPM fidedigna. Por exemplo, a primeira vez que o VTPM actua num par de chaves público-privado que é conhecido como Chave de Endossamento (EK, Endorsement Key) é gerado e de seguida armazenado permanentemente. Esta acção permite que o VTPM seja identificado por outros utilizadores durante o tempo de vida do dispositivo. Os dados permanentes, incluindo a EK, são eliminados quando o dispositivo VTPM é removido pela consola.

Para manter a sensibilidade dos dados armazenados, os dados são protegidos pelo sistema de chave fidedigna, que está sob o controlo da HMC. A chave de sistema fidedigna protege os dados VTPM mas possui um impacto na mobilidade da partição lógica e suspende funcionalidades para partições lógicas activadas para VTPM. A partição lógica que é activada para VTPM tem de cumprir os seguintes pré-requisitos para suportar a mobilidade de partição lógica e suspender funcionalidades:
  • Para migrar uma partição lógica com VTPM activado, ambos os sistemas têm de ter a mesma chave de sistema fidedigna.
  • Para alterar a chave fidedigna de sistema, nenhuma partição lógica com o VTPM activo pode estar no estado de suspensão. A HMC não pode alterar a chave até que as partições lógicas suspensas com o VTPM activo sejam retomadas ou desligadas.