attezt: ACME Device Attestation with TPM
摘要
开源项目attezt实现基于TPM的ACME设备认证,使用硬件绑定密钥保护TLS证书安全。
亮点
- device-attest-01:使用TPM证明设备身份的新ACME挑战类型
- 与smallstep CA集成:颁发短效(24小时)设备证书
- PKCS11支持:通过p11-kit提供密钥给应用程序
- TPM EK标识:通过Endorsement Key唯一标识设备
- attezt-agent:管理设备证书并提供p11-kit socket
核心洞察:"硬件绑定密钥即使被提取也无效,因为没有硬件就无法使用"
技术细节:
- device-attest-01依赖"attestation CA"验证设备
- TPM EK公钥哈希可唯一标识设备
- 使用Attestation Key (AK) 而非直接用EK签名(保护隐私)
- 支持TPM 2.0,Nuvoton NPCT75x等常见TPM
- 短效证书降低泄露风险