【正文】 TRUSTED COMPUTING TPM TRUSTED BOOT 1 Outline ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務(wù) ? TCG編程接口 ? Trusted Boot 2 Trusted Computing ? An object is trusted if and only if it operates as expected. ? An object is trustworthy if and only if it is proven to operate as expected. 3 TCG Architecture 4 Agenda ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務(wù) ? TCG編程接口 ? Trusted Boot 5 Fundamental Trusted Platform Features ? Protected Capabilities ? Attestation ? Integrity Measurement, Storage and Reporting 6 保護能力（ Protected Capability） ? 保護區(qū)域： ?可信平臺模塊中存放敏感信息的存儲區(qū)，如平臺配置寄存器（ PCR）。 ? 保護能力： ?可信平臺模塊提供的可以對保護區(qū)域進行訪問的功能，以命令的形式提供，即 TPM命令。 7 對外證明（ Attestation） (Cont..) ? TPM的身份標識 ?真實身份 : 唯一地標識一個確定的 TPM的一對密鑰 —真實身份密鑰（ EK） , EK公鑰 + EK私鑰 ?工作身份 : 與某個 TPM的 EK關(guān)聯(lián)的一對密鑰 —工作身份密鑰（ AIK） , AIK公鑰 + AIK私鑰 8 對外證明（ Attestation） ? 對平臺進行的證明 ?可信的第三方告訴外部實體：“該平臺與一個確定的TPM相關(guān)聯(lián)，你可以相信它提供的完整性度量報告”。 ? 由平臺進行的證明 ?平臺告訴外部實體：“某某完整性度量結(jié)果是我提供的”。用平臺上的 TPM的 AIK對 PCR寄存器的值進行簽名。 9 完整性度量 ? 完整性度量： ?獲取影響平臺完整性（可信性）的平臺特性的度量值，并把該度量值的摘要存放到 PCR中。 ? 被度量的值： ?程序代碼或內(nèi)嵌數(shù)據(jù)的表示 ? 度量產(chǎn)生的摘要： ?被度量的值的哈希值 10 完整性存儲和報告 ? PCR寄存器保存度量產(chǎn)生的摘要的方法 ? PCR[n] ? SHA1 ( PCR[n] + M_data ) ? 對外證明記錄在 PCR中的度量結(jié)果。 11 Agenda ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務(wù) ? TCG編程接口 ? Trusted Boot 12 可信計算平臺的信任根 13 RTM ? RTM是一個可靠地進行完整性度量的計算引擎，以 CRTM (core root of trust for measurement)為度量根。 CRTM是系統(tǒng)啟動后執(zhí)行的第一段代碼，它初始化系統(tǒng)啟動后的執(zhí)行順序，執(zhí)行最初的可信度量，然后引導 TPM開始工作。CRTM是平臺執(zhí)行 RTM時的執(zhí)行代碼，一般存儲在 BIOS中。 14 RTS ? RTS是一個準確的記錄完整度量的摘要值和順序計算引擎，它將完整性度量保存在日志中，將它們的散列值保存在 PCR中。 ? PCR/RTM act as RTS 15 RTR ? RTR是一個可信的實體來精確和正確的報告信息。使用 PCR和 RSA以不可偽造的方式向外界報告平臺狀態(tài)。 ? EK/TPM act as RTR 16 Trusted Building Blocks (TBB) ? 可信構(gòu)件塊（ TBB）：平臺中必須納入到信任根之中的部件，處于保護區(qū)域和保護能力的范圍之外。 ? The CRTM, ? Connection of the CRTM storage to a motherboard, ? The connection of the TPM to a motherboard ? mechanisms for determining Physical Presence 17 Example of a TBB 18 信任邊界 (The Trust Boundary) ? TBB和根信任的組合形成了一個可信邊界 ?在該范圍內(nèi)，可以完成對平臺的最小配置的完整性的度量、存儲和報告 ? 信任邊界的擴充 ?把通過度量的組件納入到信任范圍之中 19 信任鏈 (Transitive Trust) 20 建立過程 ? 可信計算平臺將 BIOS引導塊作為完整性度量可信根 , TPM作為完整性報告可信根。 ? 從平臺加電開始 ,BIOS的引導模塊度量 BIOS的完整性值并將該值存儲在 TPM上 ,同時在自己可寫的那塊內(nèi)存中記錄日志 。 ? 接著 BIOS度量硬件和 ROMS,將度量得到的完整性值存在 TPM中 ,在內(nèi)存中記日志 。 ? 接著 OS Loader度量 OS,OS度量應(yīng)用和新的 OS組件。 ? 當操作系統(tǒng)啟動后 ,由用戶決定是否繼續(xù)信任這個平臺系統(tǒng)。這樣一個信任鏈的建立過程保證了系統(tǒng)平臺的可信性。 21 完整性測量 (Integrity Measurement) ? measurement events ? measured values a representation of embedded data or program code ? measurement digests a hash of measured values ? storage ? The measurement digest is stored in the TPM using RTR and RTS functionality. ? measured values may be stored in Stored Measurement Log 22 Stored Measurement Log (SML) ? SML記錄了摘要值的序列， TPM將這些摘要值保存在相應(yīng)的 PCR。 ? updates to a PCR ? PCR[n] ? SHA1 (PCR[n] + measured data) ? SML does not reside in the TPM. 23 procedure 24 Measurement on Linux ? An example from a Linux based implementation of trusted puting 25 Linux Application Measurements 26 Integrity Reporting Protocol 27 協(xié)議說明 1. 請求方發(fā)出獲取一個或多個 PCR寄存器值的請求； 2. 平臺上的度量機制采集 SML記錄信息； 3. 度量機制從 TPM中獲取 PCR寄存器的值； 4. TPM用 AIK對 PCR寄存器的值進行簽名； 5. 平臺的度量機制采集與 TPM關(guān)聯(lián)的憑證，并把 SML記錄信息、憑證和經(jīng)過簽名的 PCR寄存器的值提供給請求方； 6. 請求方驗證請求的響應(yīng)結(jié)果：它計算度量產(chǎn)生的摘要，將其與 PCR寄存器的值進行對比，并評估平臺的憑證，檢查簽名信息。 28 信息交換保護功能 (1) ? 綁定（ Binding） ?發(fā)送方用接收方的公鑰對信息進行加密 ?設(shè)實體 ES擬把信息 M發(fā)送給實體 ER，