Solidigm™ 固态硬盘设备认证支持

Solidigm™ 固态硬盘(从 D7-PS1xxx 系列及其他产品起)将具备设备认证功能,供客户通过加密方式验证固态硬盘是否为 Solidigm 正品,且具备应有的固件和配置。

认证数据可以使用 DMTF 安全协议和数据模型 (SPDM) 规范中指定的命令从固态硬盘获取。请参阅此规范,执行获取认证数据所需的协议。

一旦从固态硬盘中获取到认证数据,至关重要的一步是将该数据与 Solidigm 已验证认证数据进行比对核验,此类数据通常被称为基准完整性清单 (RIM)。Solidigm 已验证认证数据经 Solidigm 核验,确认其内容准确无误,并经过数字签名,以维护数据的完整性并确保其真实性。

一旦从固态硬盘中获取的认证数据与 Solidigm 已验证认证数据均已齐备,请求实体(如主机软件、基板管理控制器 (BMC) 等)即可对这两组数据进行比对,确认二者是否一致。此外,请求方还可对固态硬盘认证数据的数字签名进行核验,以确保数据已由 Solidigm 完成数字签名。

如两组认证数据匹配,且证明数字签名来自 Solidigm,则请求方可以确认,该固态硬盘是 Solidigm 正品,且具备应有的配置。如果这些验证步骤中的任何一步失败了,则请求方可以选择采取补救措施,并/或阻止固态硬盘启动。如果发生这种情况,请求方可能需要联系 Solidigm 客户支持团队获取协助。

下图对上述流程进行了高度概括:

Solidigm 固态硬盘设备认证流程]

 

获取 Solidigm 设备认证根证书

Solidigm 设备认证根证书为一份 X.509 数字证书,用于核验固态硬盘的设备身份,确认该设备为正品 Solidigm 固态硬盘(有关证书和数字签名的概述,可在此处此处查看)。

依据行业标准及通用最佳实践,Solidigm 设有内部证书颁发机构,负责托管 Solidigm 设备认证根证书。Solidigm 设备认证根证书的部分属性信息如下所示。客户可通过以下渠道获取 Solidigm 设备认证根证书:

Solidigm 认证根证书颁发机构证书状态:

有效

  • Solidigm 认证根证书(ECDSA P-384,O = Solidigm,CN = Solidigm 认证根证书颁发机构)
  • 自签名:DER、PEM、文本
  • SHA256 (base64):3fKYNpROUS5Pm6EHd1qLXoWb7GA+HvMplnS5Z+Ok6GA=
面向高性能计算、缓存和高随机写入的 Solidigm D7-P5810 SLC NVMe 固态硬盘产品简介 PDF

获取 D7-PS1010 和 D7-PS1030 的 Solidigm 认证根证书数据,以验证固态硬盘的数字签名和安全。

查找认证根证书

从 Solidigm 固态硬盘中获取设备认证数据

除查询硬件加密身份外,设备认证功能还支持主机通过调用DMTF SPDM GET_MEASUREMENTS 命令,对设备的固件身份进行查询与验证。该命令返回的值即为固态硬盘认证数据,其表现形式为固件代码及其配置信息的加密测量值(即哈希值)。主机可要求设备对返回的测量值进行签名,以确保这些数据与设备的硬件加密身份绑定。此外,主机应将此类测量值与 Solidigm 已验证认证数据进行比对,以确认其真实性。

下表是 Solidigm 固态硬盘对 SPDM GET_MEASUREMENTS 命令的响应样本输出。本示例仅供参考:

SPDM 测量值

如有任何问题,请在客户自助服务平台上,通过创建工单联系 Solidigm 客户支持团队。

获取 Solidigm 已验证认证数据

Solidigm 客户可通过下方渠道,获取其目标产品对应的 Solidigm 已验证认证数据。Solidigm 已验证认证数据的专业技术术语为 Solidigm 简明基准完整性清单 (CoRIM)。有关互联网工程任务组 (IETF) 定义的 CoRIM 的详细信息,请参见此处

Solidigm 的 CoRIM 传达加密测量值与设备构成信息;主机通过 SPDM 协议从固态硬盘中读取该类信息时,其内容应与预取结果一致(例如:不可变只读存储器测量值、可变固件测量值等)。验证从固态硬盘中获取的认证数据时,必须使用 Solidigm CoRIM。请注意,Solidigm CoRIM 可能不包含设备动态配置属性的测量值,例如硬件配置与固件配置等,此类属性会因固态硬盘的具体配置不同而存在差异。

D7-PS10xx CORIM

相关行业规范和其他参考