1、概述
![]()
![]()
1)存儲
用於完整性報告的根信任(RTR)有兩個功能:
①在屏蔽區域存儲完整性測量的結果;
②證實基於可信平臺身份的存儲數據的正確性;
存儲完整性報告摘要的PCR可以使用易失性存儲器或非易失性存儲器。
PCR必須保證不能受到軟件攻擊,同時也要考慮如何防止物理干擾的攻擊。
2)AIK
TPM使用AIK對完整性報告摘要(PCR值)進行數字簽名,以保證外部實體可以驗證PCR的值。
爲防止重放攻擊,參與PCR簽名的數據中應包含nonce。
TPM產生並管理AIK。TPM可以擁有很多AIK。
當考慮到衝突時,不同的AIK用於保護不同的隱私。
TPM在出廠時,可以內置一個稱爲背書密鑰(Endorsement Key,EK)的嵌入式密鑰。
EK用於簽發AIK證書的過程和確立平臺的擁有者。
平臺的擁有者可以創建一個存儲根密鑰(SRK)。
存儲根密鑰用於加密其他TPM密鑰。
2、完整性報告協議
完整性報告用於驗證平臺的當前配置。
驗證協議包含了如下6個步驟:
①請求者向平臺請求一個或多個PCR的值;
②一個包含TPM的平臺執行機構查找相應的SML入口地址;
③平臺執行機構從TPM得到PCR的值;
④TMP使用AIK爲PCR的值簽名;
⑤平臺執行機構查找TPM所擔保的證書,然後將簽名後的PCR的值,SML入口和證書返回給請求者;
⑥請求者驗證請求,然後對證書進行評估並對PCR的簽名進行驗證,測量摘要經重新計算後與PCR的值比較。
協議與傳輸機制的實現是獨立的,現有的通訊協議、消息傳遞和遠程訪問機制都可以用來傳遞驗證消息。
3、身份和隱私
1)身份認證
證明的目標之一是允許訪問者確定某個TPM已經對一個消息進行了簽名,同時也可以用來確定“哪個”TPM對消息進行的簽名。
通過中立的CA簽署的AIK證書可以保證在向訪問者證明平臺可信度的同時又不會將EK唯一的值泄漏給訪問者。
TPM在中立的CA那裏登記了自己的AIK公鑰,中立的CA爲這個AIK簽署了一個證書。
在中立的CA處進行登記時,TPM需要證明AIK是綁定在特定的TPM上的。
平臺通過使用在TPM中保存的EK私鑰解密AIK證書的方式來實現這個要求。
只有擁有EK私鑰的TPM才能夠完成對證書的解密。
2)CA
中立的CA應該是足夠可信的,它是不會泄漏敏感信息的,包括EK的公鑰或其中的PII(個人身份驗證信息)部分,同時它也不會誤傳平臺用來生成AIK的可信屬性。
TPM可以被設置爲在參與簽署AIK證書協議前需要所有者的授權。TPM也可以被設置成禁用或不激活。
4、平臺的證明
平臺的證明用於評估使用AIK對一個平臺(的可信度)的證明是否可信。
此時,需要TPM和平臺製造商簽發的證書來確認與特定的AIK相關的可信度判斷。
5、TCG證書
TCG定義了五類證書,每類都被用於爲特定操作提供必要的信息。
證書格式在ASN.1進行了明確的說明,並且是PKI的一個元素。
證書的種類包括:
①背書(EK)證書
②符合性證書
③平臺證書
④認證證書
⑤身份認證(AIK)證書
6、背書證書
1)產生
背書證書由產生EK的設備簽發。
EK在生產過程中產生,應該由TPM的供應商產生EK。
無論如何,EK應在(TPM)提供給最終用戶前的任何時刻生成,生產商纔可以聲明EK已經完整的生成並嵌入到一個有效的TPM中。
如果EK密鑰對在平臺交付用戶後再生成,密鑰生成的環境將影響可提供的背書。
2)組成
背書證書包含下列信息:
①TPM生產商的名稱
②TPM型號
③TPM的版本
④EK公鑰
EK公鑰雖然是公開的,但也是一個祕密的敏感信息,因爲EK與TPM是一一對應的,並用於平臺的擴展。
TCG指定每一個TPM都必須擁有一個EK證書。
7、符合性證書
1)定義
符合性證書由有足夠能力評估一個TPM或包含TPM的平臺的任何實體簽署。
評估可以由平臺的生產商、供應商或中立的第三方完成。
符合性證書說明了評估者按照已制定的評估指導方針證實了TBB的設計和實現。
通過對證書的數字簽名,評估者可以證實其評估結果及所有被評估的細節。
TCG定義了豐富的評估標準和指導方針以便於評估。
一個平臺可能有多個符合性證書:一個是TPM的,其他的是不同TBB部件的。
2)組成
符合性證書包含下列信息:
①評估者的名稱
②平臺生產商的名稱
③平臺型號
④平臺版本(若可用)
⑤TPM生產商的名稱
⑥TPM型號
⑦TPM版本
符合性證書並不包含可以唯一標誌一個特定平臺的信息。
TCG認爲,一個平臺型號可能擁有多個符合性證書,但對於相同的產品和型號只需要一個(組)證書。
8、平臺證書
1)定義
平臺證書由平臺的生產商、供應商或有足夠可信度的任何實體簽發。
它用於確認平臺生產商的身份並且描述了平臺的特性。
它同時索引TPM相關的背書證書和符合性證書。
證書的索引還包括所有索引的證書的信息摘要。
平臺證書應是私密的:因爲平臺證書是與一個特定的平臺相關的,而與同一類的其他平臺不同。
2)組成
平臺證書包括下列信息:
①平臺生產商的名稱
②平臺型號
③平臺版本(若可用)
④背書證書
⑤符合性證書(可能是多個)
平臺證書可以證明平臺中包含了背書證書所描述的TPM。TCG認爲:一個平臺的實體應與一個平臺證書一一對應。
9、認證證書
1)定義
TCG認爲:可測量的部件(硬件或軟件)的生產商,應提供測量的參考值。
測量參考值是被測部件在正確的工作流程下生產時測量的信息摘要,一般是在功能測試之後。
不是所有的部件都需要提供認證證書。
只有被認爲是可能對系統安全造成威脅的部件需要進行檢查。
如果用戶信任“無塵室”操作者的聲明,“無塵室”測量可以在任何時刻進行。
參考測量值可以與實時檢測的測量值進行比較。
帶有所期望的參考測量值,用於描述部件結構的被簽名的文檔稱爲認證證書。
2)認證證書組成
認證證書應包含的部件例如:
①顯示適配器
②磁盤存儲適配器
③內存控制器
④通訊控制器/網絡適配器
⑤處理器
⑥鍵盤和鼠標
⑦軟件
3)部件組成
認證證書是由一個認證實體簽署的。
任何一個希望且有能力進行測量同時可以證實測量值的實體都可以被看作是認證實體。
部件生產商是最具代表性的認證實體。
部件描述的任何部分都可以作爲判定可信度的依據。
無論怎樣,需要被簽署認證證書的部件是最容易對安全形成威脅的。
部件描述至少應包含以下各元素:
①認證實體的名稱
②部件生產商的名稱
③部件型號
④部件版本
⑤測量值(一個或多個)
部件描述也可以包含:
⑥部件性能(不可改變的)
證書可能是簽署給每一個型號、每一個型號系列或者根據帶有數字簽名的唯一性信息單獨簽署。
被認爲是適合進行簽署證書的任何設備都可以分配和簽署(發佈)認證證書。
證書最好以電子的形式提供以便於自動工具的識別。
10、部件升級和域升級
擁有認證證書的部件可能需要修改BUG,升級部件或升級那些與原有認證證書相關的可能引起不可預知結果的部分。
TCG認爲認證證書的產生和部件升級的過程應由供應商制定。
平臺特徵規範只涉及器件和認證證書的一致性問題。
11、身份驗證證書
1)定義
AIK證書證明用於對PCR的值進行簽名的AIK私鑰。
AIK證書包括AIK公鑰和證書簽署人認爲必要的任何信息。
可以驗證不同證書的中立的可信服務(service)用來簽發AIK證書。
在簽發AIK證書時,簽名者通過校對TPM提供的事實來證實TPM。
證實的目標是確認TPM擁有一個AIK並且已和有效的背書證書、平臺證書和符合性證書綁定。
簽發AIK證書的可信方除了保持中立,還應保護在登記過程中用戶所暴露的個人身份信息。
2)其他
身份認證證書還索引了其他的證書,如:
①圖4-5中C所表示的TPM生產商和型號描述,但沒有敏感信息EK。
②圖4-5中D所表示的平臺生產商和型號描述。注意,索引並不是引用了平臺證書本身,而只是引用了平臺證書中的非敏感信息部分。
③圖4-5中E表示了向請求者說明如何調用TPM和平臺的符合性證書。
請求者可以使用這些信息及證書提供的其他信息通過驗證協議確認平臺的可信度。
12、證書的可信度和隱私
在以上對每一個證書的描述中,都對祕密敏感度進行了闡述。
每一個證書對證明平臺的可信度都是必須的,TCG規範規定平臺的生產商爲了保護用戶的隱私必須保證這些證書的保密性。
有很多種方法可以發佈證書,其中包括:
①在平臺上直接發佈-通過CD或磁介質。
②站點下載-連接到生產商的網頁。
③第三方服務-例如搜索引擎或目錄服務。
無論使用那種發佈證書的機制,證書的發佈者應滿足平臺所有者所要求的中立。
