Introducing the SPDM Authorization Specification

Open Compute Project

23 Oct 202421:31

Summary

TLDRこのプレゼンテーションでは、SPDM認証仕様の初期バージョンについて説明されました。この仕様は、デバイス上での保護された操作を許可するためのフレームワークを提供し、SPDMの原則に基づいて構築されています。認証フロー、資格情報管理、およびユーザー特有の認可プロセスが中心テーマで、セキュリティを確保しつつ、ユーザーが権限を昇格させる方法が示されています。また、参加者にはこの仕様の開発への参加とフィードバックが呼びかけられています。

Takeaways

😀 SPDM認証仕様は、認可されたユーザーがデバイス上で特定のアクションを実行できるフレームワークを構築するための基盤となる。
😀 認証フローは、認証イニシエータと認証ターゲット間のエンドツーエンドのセキュリティを保証することを目的としている。
😀 SPDMセッションは、基本的なセキュリティ（機密性、整合性、リプレイ防止）を提供するために活用される。
😀 認証には、一般的なメッセージの認可が可能であり、制限はない。
😀 初版では、非対称鍵ペアを使用した資格情報に焦点を当てている。
😀 資格情報ポリシー管理のための標準メッセージを定義し、資格情報とそれに関連付けられたポリシーを管理する。
😀 認可フローには、SPDMリクエスタとレスポンダー間のケースと、オフマシンエンティティとのケースがある。
😀 認可ターゲットは、受信する要求の権限を常に確認し、権限のない要求にはアクセスを拒否する。
😀 認証には、相互認証が利用され、セッションの初期設定でリクエスタを認証する。
😀 資格情報のプロビジョニングは、セキュアな製造環境や安全なオンボーディングを通じて行われる必要がある。

Q & A

SPDM認証仕様の目的は何ですか？
-SPDM認証仕様は、認証されたユーザーがデバイス上で保護されたアクションを実行できるようにするフレームワークを構築することを目的としています。
SPDMはどのような技術に基づいていますか？
-SPDMは、DMTFからの274仕様の上に構築されており、MCTPに基づいた安全なメッセージフレームワークを活用しています。
認証フローとは何ですか？
-認証フローは、認証イニシエーターと認証ターゲット間での通信を通じて、アクションが正当なユーザーによって行われることを保証します。
認証における資格情報の管理はどのように行われますか？
-資格情報は、非対称キーのペアを使用して管理され、標準化されたメッセージセットが資格情報のプロビジョニングとポリシーの関連付けに使用されます。
ユーザー特定の認可プロセスとは何ですか？
-ユーザー特定の認可プロセスは、外部エンティティが特権コマンドを実行するために、セッションを昇格させる流れを指します。
セッションの昇格はどのように機能しますか？
-セッションが昇格されると、ユーザーは資格情報を提供し、その後のコマンドは認証ターゲットによって検証されます。
スロットのプロビジョニングの必要性は何ですか？
-スロットのプロビジョニングは、認証をブートストラップするために必要であり、少なくとも1つのスロットを使用する必要があります。
認証ポリシーの管理はどのように行われますか？
-認証ポリシーは、資格情報と関連付けられ、何に資格情報が使用できるかを定義しますが、ポリシー自体は仕様で定義されていません。
将来的に追加される資格情報のタイプは何ですか？
-将来的には、他の種類の資格情報も追加される可能性がありますが、初期の仕様では非対称キーのペアに焦点を当てています。
認証仕様に関するフィードバックはどのように提供できますか？
-認証仕様に関するフィードバックは、指定されたリンクを通じて提供することができます。