【正文】 ? TCM_RecoverIdentity: 51 TPM Startup 52 TPM States 53 Enabled/Disabled 54 Active/Deactive 55 Physical Presence 56 Agenda ? 可信平臺(tái)的基本特性 ? 可信計(jì)算平臺(tái)的基本體系 ? 可信平臺(tái)模塊（ TPM）部件 ? 軟件接口和服務(wù) ? TCG編程接口 ? Trusted Boot 57 可信計(jì)算平臺(tái)軟件層次結(jié)構(gòu) 58 Layers ? TCG Service Provider (TSP) ? TSP Interface (TSPI) ? TSP Context Manager (TSPCM) ? TSP Cryptographic Functions (TSPCF) ? TCG Core Services (TCS) ? TCS Interface (Tcsi) ? TCS Context Manager (TCSCM) ? TCS Key Credential Manager (TCSKCM) ? TCS Event Manager (TCSEM) ? TCS TPM Parameter Block Generator (TcsipBG) ? TCG Device Driver Library (TDDL) ? TPM Device Driver (TDD) 59 TDDL接口 ? 處于用戶模式 ? TDDL提供了系統(tǒng)從用戶模式到核心模式的轉(zhuǎn)換 ? 優(yōu)點(diǎn) : ? 確保以不同方式實(shí)現(xiàn)的 TSS能夠與任何 TPM通信。 21 完整性測(cè)量 (Integrity Measurement) ? measurement events ? measured values a representation of embedded data or program code ? measurement digests a hash of measured values ? storage ? The measurement digest is stored in the TPM using RTR and RTS functionality. ? measured values may be stored in Stored Measurement Log 22 Stored Measurement Log (SML) ? SML記錄了摘要值的序列， TPM將這些摘要值保存在相應(yīng)的 PCR。用平臺(tái)上的 TPM的 AIK對(duì) PCR寄存器的值進(jìn)行簽名。 ? PCR/RTM act as RTS 15 RTR ? RTR是一個(gè)可信的實(shí)體來(lái)精確和正確的報(bào)告信息。 35 Comments ? TPM外稱為 KCM的軟件負(fù)責(zé)密鑰緩存的管理，管理密鑰在 TPM與緩存之間的傳送 ? 存儲(chǔ)保護(hù)服務(wù)除了保護(hù)密鑰以外，也可以保護(hù)數(shù)據(jù)。 ?參數(shù)模塊生成 ——負(fù)責(zé)接收上層的同步請(qǐng)求，并排隊(duì)、處理 TPM命令。 下午 5時(shí) 6分 4秒 下午 5時(shí) 6分 17:06: 沒(méi)有失敗，只有暫時(shí)停止成功！。 :06:0417:06:04March 31, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 5時(shí) 6分 :06March 31, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 17:06:0417:06:0417:063/31/2023 5:06:04 PM 1以我獨(dú)沈久，愧君相見(jiàn)頻。 ? PCR寄存器：供操作系統(tǒng)和應(yīng)用軟件使用 ? 工作身份密鑰（ AIK）：永久型密鑰，存放在 TPM之外 ? 程序代碼：對(duì)平臺(tái)設(shè)備進(jìn)行完整性度量的固件，是度量的核心信任根（ CRTM） ? 隨機(jī)數(shù)生成器：生成密鑰、創(chuàng)建即時(shí)隨機(jī)量 ? SHA1消息摘要引擎：計(jì)算簽名、創(chuàng)建密鑰塊 ? RSA密鑰生成引擎：創(chuàng)建簽名密鑰和存儲(chǔ)密鑰 ? RSA引擎：使用簽名密鑰進(jìn)行簽名、使用存儲(chǔ)密鑰進(jìn)行加密和解密、使用 EK進(jìn)行解密 ? 功能開(kāi)關(guān)組件：禁用或啟用 TPM模塊 ? 執(zhí)行引擎：執(zhí)行 TPM初始化操作和完整性度量操作 47 PCR—Platform Configuration Register ? 8個(gè) PCR， 16個(gè)； ? PCR放置在 Shield Location； ? PCR的使用方式由平臺(tái)的體系結(jié)構(gòu) (PC/服務(wù)器 /PDA等 )來(lái)確定； ? PCR為 160bits值； ? PCR主要用來(lái)存儲(chǔ)在信任鏈建立過(guò)程中各模塊完整性度量數(shù)值； ? PCR存儲(chǔ)數(shù)值方式： PCRi New = Hash(PCRi Old value || value to add) ? PCR must be in the RTS(Root of Trusted Storage) 48 PCR Usage 49 Endorsement Key (EK) ? 一個(gè) RSA(2048bits)公私鑰對(duì) (PUBEK , PRIVEK )； ? EK是 TCM的唯一性密碼學(xué)身份標(biāo)識(shí)； ? EK創(chuàng)建： ? 內(nèi)部創(chuàng)建使用 TCM_CreateEndosreKey命令； ? 外部創(chuàng)建：需要保證同樣的安全性； ? EK一般由廠商生成，同時(shí)由生成 EK的實(shí)體負(fù)責(zé)創(chuàng)建 EK的 Credential； ? EK一旦生成，不允許再產(chǎn)生。這樣一個(gè)信任鏈的建立過(guò)程保證了系統(tǒng)平臺(tái)的可信性。 ? 由平臺(tái)進(jìn)行的證明 ?平臺(tái)告訴外部實(shí)體：“某某完整性度量結(jié)果是我提供的”。使用 PCR和 RSA以不可偽造的方式向外界報(bào)告平臺(tái)狀態(tài)。如果實(shí)體 E無(wú)法識(shí)別數(shù)據(jù) D，則對(duì)于實(shí)體 E而言， D屬于不透明數(shù)據(jù)。 ? 作為一個(gè)系統(tǒng)進(jìn)程運(yùn)行 61 TSP接口 ? 提供一個(gè)基于面向?qū)ο篌w系結(jié)構(gòu)的 C語(yǔ)言編程接口 ? 駐留在與用戶應(yīng)用程序相同的進(jìn)程地址空間。 , March 31, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 2023年 3月 31日星期五 下午 5時(shí) 6分 4秒 17:06: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 。 , March 31, 2023 雨中黃葉樹(shù)，燈下白頭人。 37 密鑰類型 (1) ? Signing keys ? Signing keys are asymmetric general purpose keys used to sign application data and messages. ? Signing keys can be migratable or nonmigratable. ? Storage keys ? Storage keys are asymmetric general purpose keys used to encrypt data or other keys. ? Storage keys are used for wrapping keys and data managed externally 38 密鑰類型 (2) ? Identity Keys ? Identity Keys (. AIK keys) are nonmigratable signing keys that are exclusively used to sign data originated by the TPM ? Endorsement Key ? Endorsement Key (EK) is a nonmigratable decryption key for the platform. ? It is used to decrypt owner authorization data at the time a platform owner is established and to decryp