【正文】 新雨后，天氣晚來秋。 :06:0417:06:04March 31, 2023 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 , March 31, 2023 很多事情努力了未必有結果，但是不努力卻什么改變也沒有。 。 :06:0417:06Mar2331Mar23 1故人江海別，幾度隔山川。 Trusted Execution Technology (Intel174。 ? 作為一個系統(tǒng)進程運行 61 TSP接口 ? 提供一個基于面向對象體系結構的 C語言編程接口 ? 駐留在與用戶應用程序相同的進程地址空間。 60 TCS接口 ? 核心服務 ?上下文管理 ——實現對 TPM的單線程訪問。 ? Access to PRIVEK內部嚴格受限，它影響整個系統(tǒng)的安全性； ? Access to PUBEK外部嚴格受限，不為安全性而因私有性； ? EK 只參與兩個操作： ? Taking TPM ownership ? Creation of Attestation Identity Keys 50 證明身份密鑰 AIK(Attestation Identity Keys) ? 是 RSA(2048bits)公私鑰對，是 EK的別稱； ? AIK由 TCM的 Owner來創(chuàng)建和激活，數量不限制； ? 由 AIK(公鑰部分 )制作的 Credential可以包含特定應用信息； ? AIK替代 EK來完成簽名功能，主要用來對 TCM內部產生的數據進行簽名，這些數據包括 PCR值、其它密鑰、 TCM狀態(tài)信息； ? AIK創(chuàng)建涉及三個命令： ? TCM_MakeIdentity: 創(chuàng)建 AIK密鑰對，并向 AIK Credential創(chuàng)建服務商透露AIK與 EK的綁定關系 ? TCM_ActivateIdentity: 對被加密的 AIK Credential進行解密 ? TCM_RecoverIdentity: 51 TPM Startup 52 TPM States 53 Enabled/Disabled 54 Active/Deactive 55 Physical Presence 56 Agenda ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務 ? TCG編程接口 ? Trusted Boot 57 可信計算平臺軟件層次結構 58 Layers ? TCG Service Provider (TSP) ? TSP Interface (TSPI) ? TSP Context Manager (TSPCM) ? TSP Cryptographic Functions (TSPCF) ? TCG Core Services (TCS) ? TCS Interface (Tcsi) ? TCS Context Manager (TCSCM) ? TCS Key Credential Manager (TCSKCM) ? TCS Event Manager (TCSEM) ? TCS TPM Parameter Block Generator (TcsipBG) ? TCG Device Driver Library (TDDL) ? TPM Device Driver (TDD) 59 TDDL接口 ? 處于用戶模式 ? TDDL提供了系統(tǒng)從用戶模式到核心模式的轉換 ? 優(yōu)點 : ? 確保以不同方式實現的 TSS能夠與任何 TPM通信。 36 密鑰屬性 ? 可遷移 ?在一個 TPM中生成的密鑰可以傳送到另一個 TPM中使用。如果實體 E無法識別數據 D，則對于實體 E而言， D屬于不透明數據。 30 信息交換保護功能 (3) ? 封裝（ Sealing） ?選擇一組 PCR寄存器的值，用一個公鑰對該組 PCR寄存器的值和一個對稱密鑰進行加密，然后用該對稱密鑰對待封裝的信息進行加密 31 Procedure for Sealing/Unsealing 32 信息交換保護功能 (4) ? 封裝的簽名（ SealedSigning） ?先把一組特定的 PCR寄存器的值組合到待簽名的信息之中，再進行簽名 33 密鑰和數據的存儲保護方法 34 Comments(Cont..) ? TPM中的 RTS負責保護存儲在 TPM中的信息的安全，特別是保護TPM生成的密鑰的安全。 21 完整性測量 (Integrity Measurement) ? measurement events ? measured values a representation of embedded data or program code ? measurement digests a hash of measured values ? storage ? The measurement digest is stored in the TPM using RTR and RTS functionality. ? measured values may be stored in Stored Measurement Log 22 Stored Measurement Log (SML) ? SML記錄了摘要值的序列， TPM將這些摘要值保存在相應的 PCR。 ? 接著 BIOS度量硬件和 ROMS,將度量得到的完整性值存在 TPM中 ,在內存中記日志 。使用 PCR和 RSA以不可偽造的方式向外界報告平臺狀態(tài)。 CRTM是系統(tǒng)啟動后執(zhí)行的第一段代碼，它初始化系統(tǒng)啟動后的執(zhí)行順序，執(zhí)行最初的可信度量，然后引導 TPM開始工作。用平臺上的 TPM的 AIK對 PCR寄存器的值進行簽名。TRUSTED COMPUTING TPM TRUSTED BOOT 1 Outline ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務 ? TCG編程接口 ? Trusted Boot 2 Trusted Computing ? An object is trusted if and only if it operates as expected. ? An object is trustworthy if and only if it is proven to operate as expected. 3 TCG Architecture 4 Agenda ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務 ? TCG編程接口 ? Trusted Boot 5 Fundamental Trusted Platform Features ? Protected Capabilities ? Attestation ? Integrity Measurement, Storage and Reporting 6 保護能力（ Protected Capability） ? 保護區(qū)域： ?可信平臺模塊中存放敏感信息的存儲區(qū)，如平臺配置寄存器（ PCR）。 ? 由平臺進行的證明 ?平臺告訴外部實體：“某某完整性度量結果是我提供的”。 11 Agenda ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務 ? TCG編程接口 ? Trusted Boot 12 可信計算平臺的信任根 13 RTM ? RTM是一個可靠地進行完整性度量的計算引擎，以 CRTM (core root of trust