【正文】 TRUSTED COMPUTING TPM TRUSTED BOOT 1 Outline ? 可信平臺(tái)的基本特性 ? 可信計(jì)算平臺(tái)的基本體系 ? 可信平臺(tái)模塊（ TPM）部件 ? 軟件接口和服務(wù) ? TCG編程接口 ? Trusted Boot 2 Trusted Computing ? An object is trusted if and only if it operates as expected. ? An object is trustworthy if and only if it is proven to operate as expected. 3 TCG Architecture 4 Agenda ? 可信平臺(tái)的基本特性 ? 可信計(jì)算平臺(tái)的基本體系 ? 可信平臺(tái)模塊（ TPM）部件 ? 軟件接口和服務(wù) ? TCG編程接口 ? Trusted Boot 5 Fundamental Trusted Platform Features ? Protected Capabilities ? Attestation ? Integrity Measurement, Storage and Reporting 6 保護(hù)能力（ Protected Capability） ? 保護(hù)區(qū)域： ?可信平臺(tái)模塊中存放敏感信息的存儲(chǔ)區(qū)，如平臺(tái)配置寄存器（ PCR）。 ? 保護(hù)能力： ?可信平臺(tái)模塊提供的可以對(duì)保護(hù)區(qū)域進(jìn)行訪問的功能，以命令的形式提供，即 TPM命令。 7 對(duì)外證明（ Attestation） (Cont..) ? TPM的身份標(biāo)識(shí) ?真實(shí)身份 : 唯一地標(biāo)識(shí)一個(gè)確定的 TPM的一對(duì)密鑰 —真實(shí)身份密鑰（ EK） , EK公鑰 + EK私鑰 ?工作身份 : 與某個(gè) TPM的 EK關(guān)聯(lián)的一對(duì)密鑰 —工作身份密鑰（ AIK） , AIK公鑰 + AIK私鑰 8 對(duì)外證明（ Attestation） ? 對(duì)平臺(tái)進(jìn)行的證明 ?可信的第三方告訴外部實(shí)體：“該平臺(tái)與一個(gè)確定的TPM相關(guān)聯(lián)，你可以相信它提供的完整性度量報(bào)告”。 ? 由平臺(tái)進(jìn)行的證明 ?平臺(tái)告訴外部實(shí)體：“某某完整性度量結(jié)果是我提供的”。用平臺(tái)上的 TPM的 AIK對(duì) PCR寄存器的值進(jìn)行簽名。 9 完整性度量 ? 完整性度量： ?獲取影響平臺(tái)完整性（可信性）的平臺(tái)特性的度量值，并把該度量值的摘要存放到 PCR中。 ? 被度量的值： ?程序代碼或內(nèi)嵌數(shù)據(jù)的表示 ? 度量產(chǎn)生的摘要： ?被度量的值的哈希值 10 完整性存儲(chǔ)和報(bào)告 ? PCR寄存器保存度量產(chǎn)生的摘要的方法 ? PCR[n] ? SHA1 ( PCR[n] + M_data ) ? 對(duì)外證明記錄在 PCR中的度量結(jié)果。 11 Agenda ? 可信平臺(tái)的基本特性 ? 可信計(jì)算平臺(tái)的基本體系 ? 可信平臺(tái)模塊（ TPM）部件 ? 軟件接口和服務(wù) ? TCG編程接口 ? Trusted Boot 12 可信計(jì)算平臺(tái)的信任根 13 RTM ? RTM是一個(gè)可靠地進(jìn)行完整性度量的計(jì)算引擎，以 CRTM (core root of trust for measurement)為度量根。 CRTM是系統(tǒng)啟動(dòng)后執(zhí)行的第一段代碼，它初始化系統(tǒng)啟動(dòng)后的執(zhí)行順序，執(zhí)行最初的可信度量，然后引導(dǎo) TPM開始工作。CRTM是平臺(tái)執(zhí)行 RTM時(shí)的執(zhí)行代碼，一般存儲(chǔ)在 BIOS中。 14 RTS ? RTS是一個(gè)準(zhǔn)確的記錄完整度量的摘要值和順序計(jì)算引擎，它將完整性度量保存在日志中，將它們的散列值保存在 PCR中。 ? PCR/RTM act as RTS 15 RTR ? RTR是一個(gè)可信的實(shí)體來精確和正確的報(bào)告信息。使用 PCR和 RSA以不可偽造的方式向外界報(bào)告平臺(tái)狀態(tài)。 ? EK/TPM act as RTR 16 Trusted Building Blocks (TBB) ? 可信構(gòu)件塊（ TBB）：平臺(tái)中必須納入到信任根之中的部件，處于保護(hù)區(qū)域和保護(hù)能力的范圍之外。 ? The CRTM, ? Connection of the CRTM storage to a motherboard, ? The connection of the TPM to a motherboard ? mechanisms for determining Physical Presence 17 Example of a TBB 18 信任邊界 (The Trust Boundary) ? TBB和根信任的組合形成了一個(gè)可信邊界 ?在該范圍內(nèi)，可以完成對(duì)平臺(tái)的最小配置的完整性的度量、存儲(chǔ)和報(bào)告 ? 信任邊界的擴(kuò)充 ?把通過度量的組件納入到信任范圍之中 19 信任鏈 (Transitive Trust) 20 建立過程 ? 可信計(jì)算平臺(tái)將 BIOS引導(dǎo)塊作為完整性度量可信根 , TPM作為完整性報(bào)告可信根。 ? 從平臺(tái)加電開始 ,BIOS的引導(dǎo)模塊度量 BIOS的完整性值并將該值存儲(chǔ)在 TPM上 ,同時(shí)在自己可寫的那塊內(nèi)存中記錄日志 。 ? 接著 BIOS度量硬件和 ROMS,將度量得到的完整性值存在 TPM中 ,在內(nèi)存中記日志 。 ? 接著 OS Loader度量 OS,OS度量應(yīng)用和新的 OS組件。 ? 當(dāng)操作系統(tǒng)啟動(dòng)后 ,由用戶決定是否繼續(xù)信任這個(gè)平臺(tái)系統(tǒng)。這樣一個(gè)信任鏈的建立過程保證了系統(tǒng)平臺(tái)的可信性。 21 完整性測量 (Integrity Measurement) ? measurement events ? measured values a representation of embedded data or program code ? measurement digests a hash of measured values ? storage ? The measurement digest is stored in the TPM using RTR and RTS functionality. ? measured values may be stored in Stored Measurement Log 22 Stored Measurement Log (SML) ? SML記錄了摘要值的序列， TPM將這些摘要值保存在相應(yīng)的 PCR。 ? updates to a PCR ? PCR[n] ? SHA1 (PCR[n] + measured data) ? SML does not reside in the TPM. 23 procedure 24 Measurement on Linux ? An example from a Linux based implementation of trusted puting 25 Linux Application Measurements 26 Integrity Reporting Protocol 27 協(xié)議說明 1. 請(qǐng)求方發(fā)出獲取一個(gè)或多個(gè) PCR寄存器值的請(qǐng)求； 2. 平臺(tái)上的度量機(jī)制采集 SML記錄信息； 3. 度量機(jī)制從 TPM中獲取 PCR寄存器的值； 4. TPM用 AIK對(duì) PCR寄存器的值進(jìn)行簽名； 5. 平臺(tái)的度量機(jī)制采集與 TPM關(guān)聯(lián)的憑證，并把 SML記錄信息、憑證和經(jīng)過簽名的 PCR寄存器的值提供給請(qǐng)求方； 6. 請(qǐng)求方驗(yàn)證請(qǐng)求的響應(yīng)結(jié)果：它計(jì)算度量產(chǎn)生的摘要，將其與 PCR寄存器的值進(jìn)行對(duì)比，并評(píng)估平臺(tái)的憑證，檢查簽名信息。 28 信息交換保護(hù)功能 (1) ? 綁定（ Binding） ?發(fā)送方用接收方的公鑰對(duì)信息進(jìn)行加密 ?設(shè)實(shí)體 ES擬把信息 M發(fā)送給實(shí)體 ER，