RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 学术研究 / 正文

TCG TPM 2.0规范研读之:可信平台特征-认证

0 学术研究 | 2014年12月30日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/attestation.html

可信平台认证的层次结构,包含如下六种类型的认证:

         认证类型一:一个外部实体证明一个TPM,担保“其真实性且该TPM是符合TPM 2.0规范的”。这种认证采取的形式为:嵌入在真实TPM内部的一个非对称密钥,以及担保其公钥的一个凭证。实际上,该非对称密钥即为EK,而凭证为EK证书“Endorsement Certificate”。    

    认证类型二一个外部实体证明一个平台,担保“该平台包含一个度量根RTM,一个真实的TPM,以及RTMTPM之间的一条可信路径”。该认证采取的形式:包含TPM EK公钥等信息的一个凭证,担保平台的凭证通常称为平台证书“Platform Certificate”。

         认证类型三一个外部实体(通常称为认证CAAttestation CA)证明TPM的一个非对称密钥对(认证密钥),担保“一个密钥是由一个身份无法确定但真实的TPM所保护,并且该密钥拥有特定的属性”,即该密钥来自一个真实的TPM,但无法确定是哪个TPM。该认证采取的形式:包含该认证密钥对的公钥等信息的一个凭证。一个认证CA为了生成类型三的认证,一般会依赖类型一和类型二的认证。一个认证CA创建的凭证通常称为认证密钥证书“Attestation Key Certificate”。

         注意,认证CA类似TPM 1.2中的Privacy CA,认证密钥类似TPM 1.2中的AIK,认证密钥证书类似TPM 1.2中的AIK证书。主要为了保证平台身份的隐私,即不泄露具体的平台信息。

         认证类型四一个可信平台证明一个非对称密钥对,担保“一个密钥是由一个真实的TPM保护,该密钥拥有特定的属性,不过也无法确定是哪个TPM”。该认证采取的形式:平台TPM生成的一个签名,签名的信息是描述该密钥对的信息,签名的密钥为TPM保护的认证密钥(attestation-key),需要加上类型三的认证来担保该认证密钥attestation-key。这种类型的认证通常使用命令TPM2_Certify()来完成。说明,签名的密钥即认证类型三中生成的认证密钥;被签名的密钥,即本类型中生成的密钥对。

         认证类型五一个可信平台证明一个度量,担保“一个特定的软件/固件状态存在于一个平台上”。这种认证采取的形式:对PCR中软件/固件度量值的一个签名,签名使用的密钥是TPM保护的认证密钥attestation-key,需要加上类型三或者类型四种的认证形式来担保这个认证密钥。这种类型的认证称为“Quote”,通常使用命令TPM2_Quote()来完成。

         注意,就算认证类型五中用于签名的密钥来自认证类型四,其还是需要进一步使用类型三中的认证来认证类型四,因此本质上还是借助类型三的认证。

         认证类型六一个外部实体证明一个软件/固件度量,担保“一个特定的软件/固件状态”。这种认证采取的形式:一个凭证,可以担保这样的信息(包含一个度量值及其表示的状态)。这种认证类型也通常称为第三方证明“third-party certification”,通常谁发布了软件或者固件,其可以为其作担保,可以生成关于其软件/固件状态的一个凭证。

         分析:认证类型三和四需要使用一个密钥对“Shielded Locations”(屏蔽区域或者保护区域)的内容进行签名。一个认证密钥(Attestation KeyAK)是一种特殊类型的签名密钥,对其使用有一个限制,可以防止伪造(对外部数据的签名可能与真实的认证数据拥有完全相同的格式)。对AK的限制主要是,其只能用于签名TPM生成的摘要值。而如何证明AK是由一个真实TPM保护的呢?只能通过认证类型三或者认证类型四进行证明了。如果AK被证明了是由一个TPM保护,其可以被依赖去报告屏蔽区域的内容,而不是签名TPM外部类似的数据。



  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 推荐您阅读更多有关于“ 可信计算  TPM  可信平台模块  信任根   ”的文章

    请填写你的在线分享代码
    上一篇:应用白名单机制:有效的安全解决方案?下一篇:TCG TPM 2.0规范研读之:可信平台特征-认证密钥AK

    猜你喜欢

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档