当前位置：首页 > news >正文

「TCG 规范解读」第10章 TPM工作组保护你的数字环境

news 2025/7/10 7:25:05

可信计算组织（Ttrusted Computing Group,TCG）是一个非盈利的工业标准组织，它的宗旨是加强在相异计算机平台上的计算环境的安全性。TCG于2003年春成立，并采纳了由可信计算平台联盟（the Trusted Computing Platform Alliance,TCPA）所开发的规范。现在的规范都不是最终稿，都还在不断的更新中，比如：TPM的规范就从原来的v1.0更新到v1.2，现在还在不断的修订。

INFOGRAPHIC-TPM-Part-03_2014-1

保护你的整个数字环境

概述

TPM 2.0 库规范不仅说具有 SHA-1 或 RSA 密码算法，同时也减少了一些特性的模棱两可，更易于管理和应用，面对物联网中各种各样的设备，TPM 2.0 能够在各种系统中发挥作用。此外，TPM 2.0 更多的用于一些国家的政务中。

TPM 1.2 和 TPM 2.0 的 6 大改动

更灵活的算法支持

对于未来增加算法需求进行考虑，只需要很少的修改即可支持新的密码算法。

支持多 bank 的PCR

TPM 能够对系统各种状态进行跟踪，并可以使用不同的哈希算法。

包含 3 个管理等级制度

平台等级架构用来保护平台，背书架构来保护隐私，存储架构等级用作通用的密码学存储。

支持增强的授权

TPM 对于数据和密钥的访问控制，粒度更细，访问的时间、方式都被管控之中。

支持额外的密钥使用

支持更多的密码学操作，公钥和对称密钥的使用更加丰富，比如公钥验证签名、对称密钥加密。

支持多个可信密钥

支持多个背书密钥和存储根密钥，每个都可以采用不同的算法。

TPM 2.0 是否会取代 TPM 1.2

短时间内，TPM 1.2 和 TPM 2.0 会共存，TPM 1.2 当前是ISO/IEC 11889 国际标准，我们也在着手将 TPM 2.0 标准增加进去，TCG 会为 TPM 2.0 提供认证服务计划，类似 TPM 1.2 实现认证计划那样。

支持 TPM 2.0 的技术

英特尔的 TXT 技术

包含英特尔 TXT 工具箱、TPM 2.0 预配置工具、英特尔 TXT 策略生成器

Boot Guard

防止机器启动度量失败问题

微软 Windows 8

用户无感的多种 TPM 特性的应用

TPM 2.0 模拟器

插入到 PLC 插头上（或者TPM 模块socket上）提供硬件和软件的保护

复习

TCG 凭证

TCG 定义了 5 种类型的凭证，每种类型用来提供执行特定操作所必须的信息。

凭证采用 ASN.1 表示，这个借用了公钥基础设施中的元素。

凭证类型包括：

背书或 EK 凭证
符合性凭证
平台凭证
验证凭证
身份或 AIK 凭证

1. 背书凭证

背书凭证由生成背书密钥 EK 方颁发，EK 是在制作过程中生成的，即 TPM 制造商会生成 EK。不过，EK 可以在发给终端用户前的任意点生成，只要 TPM 制造商声明 EK 已经正常创建并嵌入到可用的 TPM 中。

EK密钥对在客户拿到平台后生成的话，密钥生成的条件可能会影响背书的提供。

背书凭证包含的信息有：

TPM 制造商名称
TPM 零件号
TPM 版本或阶段
EK 公钥
虽然 EK 公钥是公开的，但因为其和 TPM 一一绑定并会对平台进行扩展，所以属于敏感隐私。TCG 预期每个 TPM 需要有一个 EK 凭证。

2. 符合性凭证

这些证书由具有足够可信度的任何人发布，以评估TPM或包含TPM的平台。这些评估可以由平台制造商、供应商或独立实体来进行。这个符合性凭证表明评估方根据评估指南同意可信构建元素TBB 的设计和实现。通过签发凭证，评估者可以证明评估结果，这些会被用于后期的检查。TCG 通过定义有意义的评估标准和准则来促进评估。

评估方可以像一个平台签发多个符合性凭证，一个是给 TPM 的，其他是签给各个可信构成元素 TBB 组件的。

符合性凭证可能包含以下信息：

评估方名称
平台制造商名称
平台型号
平台版本（如果有的话）
TPM 制造商名称
TPM 型号
TPM 版本号或阶段
符合性凭证不包含任何唯一识别任何平台特定的信息。

TCG设想每个平台模型可能存在多个一致性证书，但同一品牌和型号的多个平台只需要一组证书。

3. 平台凭证

平台凭证由平台制造商、供应商或者任何具有足够信用的相关方颁发，平台凭证能够唯一识别平台的制造商并描述平台属性。平台凭证会引用 TPM 背书凭证以及相关的符合性凭证。这些引用由引用凭证的消息签名构成。平台凭证可以被看做是隐私敏感信息，这个凭证和特定平台相关，而不是和一类平台相关。

平台凭证包含如下信息：

平台制造商名称
平台型号
平台版本（如果适用）
背书凭证
符合性凭证
平台凭证根据背书凭证证明平台包含一个 TPM。TCG 建议每个平台实例只有一个平台凭证。

4. 验证（资格）凭证

TCG 建议可测量组件（软硬件）能够在功能测试后能够生成其度量值，形成对应的凭证。当然，这只是对那些能够对安全造成威胁的组件。这些度量值需要在安全环境下生成，并形成签名文档，即验证凭证，在运行时进行度量值比较。

以下一些组件通常需要验证证书：

视频适配器
磁盘存储适配器
通信控制器/网络适配器
处理器
键盘和鼠标
软件
验证凭证由验证实体颁发，任何愿意并有能力度量、证明这些度量值的实体都可以视作验证实体。通常，组件制作商产生这些值的最佳选择。组件描述中的任何一部分可能成为信任决策的原料。然而，验证凭证的候选组件可能会造成安全威胁。

组件描述至少包含如下元素：

验证实体名称
组件制造商名称
组件型号
组件版本或阶段
度量值
组件能力（比如不可改，这个是可选的）
一个型号中的一组组件可以颁布一份凭证，也可以颁发多个凭证。

组件更新、升级流程由供应商自定义，比如如何使原来的验证凭证无效等。

5. 身份证明凭证

证明身份凭证（身份证）是用来证明 AIK 私钥的凭证，由 AIK 公钥和其他签发者认为有用的信息组成，证明凭证是由可信服务方颁发并能验证各种凭证同时保证客户端的隐私条款。

通过签发证明身份凭证，签发者能够证明 TPM 的真实性，证明 TPM 的一些事实。证明的目的是 TPM 拥有 AIK 并且这个 AIK 绑定了有效的背书凭证、符合性凭证、平台凭证。受信方进一步保证了其遵守的隐私保护满足用户期望，这些隐私包括在注册过程中暴漏的个人隐私数据。

证明身份凭证参考其他凭证如下：

证明身份凭证包含了一个TPM 制造商和型号的引用，如下图中 C，没有引用隐私敏感的 EK
证明身份凭证同时包含了平台制造商和型号如图 D，值得注意的是这个引用并不是引用平台凭证本身，而是引用平台凭证中信息不敏感的信息
最后，证明身份凭证包含一个指向 TPM 和平台符合性的条目，如图 E
挑战者可以使用该信息以及证书中的其他信息，通过认证协议信任平台。

参考

1.TCG 工作组规范合集

术语

TCG，可信计算组织；

TPM，可信平台模块；

可信度量，主体通过密码学方法对客体进行度量的方法；

皮格马利翁效应心理学指出，赞美、赞同能够产生奇迹，越具体，效果越好~

“收藏夹吃灰”是学“器”练“术”非常聪明的方法，帮助我们避免日常低效的勤奋~