Es posible programa de Intel Trusted Platform Module
https://stackoverflow.com/questions/8412868
-
29-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Me pregunto si es posible programa de TPM ( http://en.wikipedia.org/wiki/Trusted_Platform_Module ) presente en la mayoría de los chips de Intel, de tal manera que:
- decide what to store in the persistent memory
- decide which cryptographic algorithms to implement.
Obviamente no debe ser reprogramable una vez que empiece a trabajar (son conscientes de si esta afirmación es correcta?).
Solución
El comportamiento de un TPM está definido por las especificaciones emitidas por Trusted Computing Group. Un TPM debe comportarse exactamente como se especifica, por lo que no puede cambiar la funcionalidad de un TPM implementado correctamente. Los fabricantes de TPM tienen capacidades limitadas para actualizar sus productos después del envío. Por ejemplo, Infineon proporciona actualizaciones de firmware para sus dispositivos.
Sin embargo, los TPM de Intel pueden ser diferentes. Algunos conjuntos de chips incluían un TPM emulado / software en lugar de un TPM de hardware real. Esos TPM se pueden actualizar con una actualización de BIOS. Pero también en este caso la actualización debe ser proporcionada por Intel. Las placas recientes como la DQ67SW tienen TPM de hardware independientes no fabricados por Intel.
Entonces, la respuesta a su segunda pregunta es: No, no puede programar / definir los algoritmos criptográficos que utiliza un TPM.
Con respecto a su primera pregunta: Sí, puede definir qué almacenar en el almacenamiento persistente hasta cierto punto. Esta región de memoria se denomina Almacenamiento no volátil o NV . Primero debe definir algo de espacio con el comando TPM_NV_DefineSpace . Luego, puede leer y escribir desde / hacia la ubicación usando TPM_NV_ReadValue y TPM_NV_WriteValue . La definición reserva una determinada cantidad de memoria en NV y también configura los atributos de seguridad de esta ubicación. Esos comandos son comandos TPM de bajo nivel, se recomienda encarecidamente utilizar una pila de software confiable (TSS) para interconectar el TPM. Puede utilizar jTSS con jTpmTools o TrouSerS .
Algunas notas sobre NV:
- Hay un espacio muy limitado en NV, pero la cantidad exacta depende del proveedor (por lo general, menos de 5 kb). La cantidad mínima para la plataforma de PC es 2048 bytes.
- El TPM es un dispositivo pasivo, no puede hacer nada sin un comando emitido. Si desea almacenar algo en el TPM, debe tener alguna pieza activa (BIOS, software, chipset, CPU) que emita esos comandos.
- Incluso la mayoría de las claves criptográficas no se almacenan en el TPM. Existe una jerarquía de claves y solo la clave raíz (clave raíz de almacenamiento - SRK) se almacena en el TPM. Todas las demás claves se almacenan en el exterior de forma cifrada.
Otros consejos
El TPM no es la intención de ser programable.Tiene un conjunto fijo de algoritmos compatibles.El código se almacena en la ROM (o si no lo es, se almacena en una memoria EEPROM que está dentro de un algo a prueba de manipulaciones paquete y no llegar a sobrescribir).
El TPM define varias funciones administrativas.Cuando se utilice por primera vez, podrás configurar las contraseñas administrativas (o su software lo hará por usted, en cuyo caso usted debe cuidadosamente copias de seguridad de las contraseñas).Si usted no está seguro acerca del estado de la TPM, cuando la reciba, puede restablecerlo a "valores predeterminados de fábrica" (borrar todas las claves existentes y credenciales);esto se denomina compensación de la TPM y normalmente se hace desde la BIOS.
Encontrará una visión general de las diversas credenciales almacenadas y utilizadas por el TPM en el credencial de perfiles.Además de las teclas que son una parte normal del ciclo de vida, puede importar sus propias claves y crear no exportable claves con el TPM del RNG.
No hay un estándar TPM perfil de protección.No sé si Intel TPM ha sido evaluado con respecto a ella.La figura 1 es un diagrama de la TPM ciclo de vida, que muestra el momento en que las claves pueden ser generados.
En la práctica, es probable que interactúen con el TPM a través de Pantalones (totalmente de código abierto TPM API), o en una forma limitada a través de Bitlocker en Windows.
Sí, puede usar el chip TPM exactamente para este tipo de operaciones y muchas más.
La pila TrouSerS es una implementación de código abierto de la pila de software de computación confiable necesaria para usar elChip TPM de forma fiable.
