「TCG 规范解读」第七章 TPM工作组 TPM 总结

news2024/12/23 2:00:14

 可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强在相异计算机平台上的计算环境的安全性。TCG于2003年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alliance,TCPA)所开发的规范。现在的规范都不是最终稿,都还在不断的更新中,比如:TPM的规范就从原来的v1.0更新到v1.2,现在还在不断的修订。

Trusted-Platform-Module-Summary_04292008

总结


TPM 是一个能够安全存储用于认证平台(PC 或笔记本等)的数据的芯片或者说微控制器。这些数据包括密码、证书、机密密钥等。TPM 也可以用来存储平台度量值,用来保证平台一直可信。

认证(保证平台能够证明其和它声称的一样)和证明(帮助证明平台可信性的过程)是保证在所有环境下计算安全的必要步骤。

TPM 可以用在 PC 意外的计算设备上,比如手机、网络设备等。

图1 TPM 组件

 从图1可以看出,TPM 中包含的组件有:非易失安全存储、安全平台配置寄存器 PCR、安全程序执行引擎、平台身份密钥 AIK、随机数生成器、哈希、密钥生成以及安全 IO。

TPM 本质上是使用基于硬件密码学来保证硬件中的信息被更好的保护,防护外部软件攻击。基于此,可以开发出很多安全应用,它们将其密钥存储在TPM中。要想从这些应用中获取敏感信息相当困难,除非得到授权,即使设备被盗也没关系。如果通过非授权访问导致 TPM 配置改变,那么也就无法访问 TPM 中的数据,因为这些数据都是和配置信息密封在一起的,配置信息改变后,数据也就无法访问了。

虽然如此,我们仍然记住,TPM 不能控制 PC 上运行的软件。TPM 可以预先存储一些配置参数,但是需要其他应用来决定和实现对于这些信息访问的策略。

一些类似签名这种需要密钥的过程在 TPM 中能够变得更安全。军队关键应用需要更高的安全防护,比如安全邮件、安全文档管理,使用 TPM 能够达到这些安全要求。例如,如果在 PC 开机过程中如果 TPM 检测到 PC 的配置有变化,访问更高安全级别的应用将被阻止除非对此进行特殊处理。使用 TPM 能够安全的对邮件进行签名,通过远程证明,可信网络中的其他设备可以决定是否相信其他设备。证明以及其他 TPM 过程不会传输任何平台用户的个人信息。

这些能力能够提升很多计算领域的安全性,包括电子商务、政务服务、在线银行、通信安全等其他对安全有要求的领域。基于硬件的安全能够提升对 VPN 的保护、无线传感器网络、文件加密(比如微软的 BitLocker)以及密码/PIN/凭证管理等。TPM 规范是操作系统无关的,其软件栈已经在很多操作系统上可用。

TPM 1.2 是用 RSA、SHA1、HMAC密码算法。

可信计算组织(TCG)是一个由约140家公司组成的国际标准机构,致力于创建规范,这些规范定义了PC TPM、其他设备的可信模块、可信基础设施要求、操作可信环境所需的API和协议。规范完成后,将发布给技术社区,并可从TCG网站下载。

如果没有标准的安全程序和共享规范,可信环境的组件就不可能进行互操作,可信计算应用程序也无法在所有平台上运行。特定解决方案无法确保全球互操作性,而且由于对加密和安全专业知识的访问更加有限,严格审查过程的可用性降低,因此无法提供可比水平的保证。从密码学的角度来看,为了与平台、其他平台和基础设施的其他元素互操作,可信模块必须能够使用相同的加密算法,这些算法经过了彻底的测试,并在发现漏洞时逐步替换或改进。在专有算法的情况下,情况并非如此。

根据市场研究报告,2007年售出了超过1亿台带有TPM的品牌PC和笔记本电脑。服务器产品开始发货基于 TPM 的应用程序,如安全电子邮件或文件加密,已经使用 TCG 规范实现。使用TCG原理来增强通信安全性的可信网络连接(TNC)产品也在上市。存储(硬盘驱动器)和移动可信模块(移动电话)的规范草案已经发布。

How_to_Use_TPM_Whitepaper_20090302_Final_3_

如何使用 TPM

利用 TPM 固有安全性实现基于硬件的终端安全指南

你真的能为一个车钥匙丢在车里时被偷的人感到难过吗?令人惊讶的是,非常类似的,许多IT管理员就是这样做的,他们没有使用自己的安全功能。TCG 安全信任根,即可信平台模块(TPM),几乎当今销售的所有企业级计算机都已经集成。

TPM是一种安全密码集成电路(IC),提供了一种基于硬件的方法来管理用户身份验证、网络访问、数据保护等,将安全性提高到比基于软件的安全。对于许多IT和运维人员来说,令人惊讶的是,TPM 可以和的企业硬件一起使用,如网络策略实施点、防火墙、Cisco交换机和路由器以及其他802.1x兼容设备。国际标准组织(ISO)的JTC1(ISO/IEC联合委员会1)已批准将TCG的TPM 1.2规范转换为ISO/IEC,标准随着目前正在进行的意见解决流程的完成 ISO/IEC 11889,第1-4部分预计将于2009年上半年发布。这将使 TPM 成为更加完善的标准安全工具,然而奇怪的是,许多组织没有利用它能力。为什么呢?潜在增加的成本和复杂性是不使用TPM的两个最常见的原因。

由于TPM作为标准设备提供,在企业层面上成本很低或没有额外成本,有超过1亿台计算机具有TPM,真正的问题肯定是复杂性,或者,事实证明,是感知到的复杂性。

一个例子是驳斥复杂性神话的最佳方式。它只需要四个简单步骤即可启用并使用TPM。

1. 从  BIOS 开启 TPM

2. 加载可用的 TPM 攻击软件

3. 开启 TPM 并获取所有权

4. 使用 TPM 生成特定的密钥比如从微软 CA 获取 VPN 证书。为了提升 TPM 的安全性,微软 CA 需要被告知使用哪一个密码安全服务商(CSP)。选择后,TPM 会生成对应的密钥对。

这些是使用 TPM 能力的第一步。有些供应商提供一些应用能够远程预配置 TPM 并管理它,省去了和每个系统接触的过程。采用这种方式,成千上万个系统可以很快实现安全配置。

一旦 TPM 被激活,用户就可以轻松的加密文件、文件夹、邮件以及安全的管理密码。为了多因子认证要求,TPM 补充了指纹读取器并将密钥和指纹安全的联系到一起,TPM 可以被用作智能卡读卡器。

计算机制造商和微软提供了详细的如何使用 TPM 的指令,包括

惠普和微软

HP-UX Trusted Computing Services Administrator's Guide HP-UX 11i v2 from Hewlett Packard and A Step-by-Step Guide to Enable Windows BitLocker Drive Encryption from Microsoft.

宏基、dell、富士康、联想(IBM)、东芝等其他电脑供应商的 TPM 使用方法类似。不过这只是开始,很多其他供应商提供了软件和应用工具来简化 TPM 使用的流程。这些包括:

• Award TCG Agent from Phoenix Technologies
• Core TCG Software Stack from NTRU Cryptosystems
• Embassy Trust Suites and EMBASSY Remote Administration Server (ERAS) from Wave
Systems
• TPM Professional Management and Support Package from Infineon Technologies AG
• Additional Developer Resource tools from TCG Members

将TPM作为现有计算机的组成部分,并获得其他企业硬件如作为Cisco路由器、集中器和交换机以及本机支持公共的防火墙、密钥基础设施(PKI)认证,该软件可以将企业安全提升到更高的级别。

IT管理员可以从本网关地获得证书(CA)并移动这些证书到进行身份验证软件组件的硬件,用户登录到域时或网络,基于硬件中的凭证执行身份验证。这提供了基于硬件的无线认证网络和虚拟专用网络(VPN),同时消除用户共享网络时共享密钥的麻烦。启用TPM后,系统管理服务器(SMS)和传统企业工具可以降低证书使用SMS和active directory 把证书固化到平台上,从而最小化随后的用户交互。

相比手动启用TPM机器,一些基础设施工具可以帮助企业快速增强网络和数据安全

参考


1.TCG 工作组规范合集

2. 更多 TPM 应用信息参考 https://www.trustedcomputinggroup.org/news/Industry_Data/TPM_applications_paper_March_28_2008.pdf. 

术语


TCG,可信计算组织;

TPM,可信平台模块;

可信度量,主体通过密码学方法对客体进行度量的方法;

皮格马利翁效应心理学指出,赞美、赞同能够产生奇迹,越具体,效果越好~

“收藏夹吃灰”是学“器”练“术”非常聪明的方法,帮助我们避免日常低效的勤奋~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/360286.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

异步执行结果-Callable、Future、FutureTask

Callable 实现Runnable接口的任务执行没有返回值&#xff0c;如果我们希望线程运算后将结果返回&#xff0c;应该使用Callable。Callable代表有返回值的任务。 class CallTask implements Callable<String> {Overridepublic String call() throws Exception {return Th…

Python基于遥感影像的文件名称将不同文件复制到对应的文件夹中

本文介绍基于Python语言&#xff0c;针对一个文件夹下的大量栅格遥感影像文件&#xff0c;基于其各自的文件名&#xff0c;分别创建指定名称的新文件夹&#xff0c;并将对应的栅格遥感影像文件复制到不同的新文件夹下的方法。 首先&#xff0c;我们来看一下本文需要实现的需求。…

RPC(1)------Java BIO + JDK原生序列化 + JDK动态代理实现

本文跟着MY-RPC-FRamework的代码&#xff0c;根据自己的理解做的笔记&#xff0c;先理解&#xff0c;再学习。 RPC原理 客户端和服务端都可以访问到通用的接口,但是只有服务端有这个接口的实现类&#xff0c;客户端调用这个接口的方式&#xff0c;是通过网络传输&#xff0c;告…

记一次对某假冒征信站点的实战渗透

1. 背景介绍 这次渗透是去年之前的了&#xff0c;原因是当时收到了这个钓鱼短信&#xff0c;这次渗透带有侥幸、偶然性。 后台无脑弱口令 后台无脑文件上传getshell 运气好&#xff0c;直接无脑提权 因为时间问题&#xff0c;本文的记录可能不太完整。 开局之后就是这样的假…

springbatch设置throttle-limit参数不生效

背景描述 当springbatch任务处理缓慢时&#xff0c;就需要使用多线程并行处理任务。 参数throttle-limit用于控制当前任务能够使用的线程数的最大值。 调整throttle-limit为10时&#xff0c;处理线程只有8&#xff0c;再次增大throttle-limit值为20&#xff0c;处理线程依旧为…

make、Makefile项目自动化构建工具

环境&#xff1a;centos7.6&#xff0c;腾讯云服务器Linux文章都放在了专栏&#xff1a;【Linux】欢迎支持订阅&#x1f339;前言自动化构建工具是干什么的呢&#xff1f;主要是为了让我们对指令进行一些设置&#xff0c;就比如说&#xff0c;假如一个项目里有很多个源文件&…

Web3的“陨落”,西下与东升

文/尹宁出品/陀螺研究院极富传奇色彩的Web3似乎正在陨落。去年的Web3&#xff0c;在人声沸腾中讲着下一代互联网摄人心魄的故事&#xff0c;传统资本大刀阔斧般迈入&#xff0c;大厂青年以自由为名掘金&#xff0c;Web3一度成为资本造神新概念。根据Messari 统计,2022 年Web3 V…

如何开发微信小程序呢

也许很多人对小程序&#xff0c;H5程序&#xff0c;Vue&#xff0c;网页程序&#xff0c;PC端程序认识比较模糊&#xff0c;因为这些跨度非常的大&#xff0c;很少人会一次性全部接触&#xff0c;甚至只是听说过&#xff0c;并不了解其中的关系&#xff0c;下面我来厘清他们的关…

传闻腾讯引进Quest 2?我觉得可行性很低

根据36kr最新消息称&#xff0c;腾讯XR团队解散后&#xff0c;确定不碰XR硬件领域&#xff0c;但并未完全放弃XR规划&#xff0c;将转变思路和玩法&#xff0c;业内消息称腾讯计划引进Meta旗下Quest 2 VR一体机。消息称&#xff0c;该计划在2022年11月份XR部门负责人沈黎走后便…

C++ 智能指针的原理:auto_ptr、unique_ptr、shared_ptr、weak_ptr

目录一、理解智能指针1.普通指针的使用二、智能指针1.auto_ptr2.unique_ptr3.shared_ptr&#xff08;1&#xff09;了解shared_ptr&#xff08;2&#xff09;shared_ptr的缺陷4.weak_ptr本文代码在win10的vs2019中通过编译。 一、理解智能指针 1.普通指针的使用 如果程序需要…

2.22.1、死锁的概念

1、死锁的概念 1.1、什么是死锁 我等待你&#xff0c;你等待他&#xff0c;他等待她&#xff0c;她等待我…这世界每个人都爱别人… 我们从资源占有的角度来分析&#xff0c;这段关系为什么看起来那么纠结… 在并发环境下&#xff0c;各进程因竞争资源而造成的一种互相等待对方…

ChatGPT入门案例|张量流商务智能客服

本篇介绍了序列-序列机制和张量流的基本概念,基于中文语料库说明基于循环神经网络的语言翻译的实战应用。 01、序列-序列机制 序列-序列机制概述 序列-序列(Sequence To Sequence,Seq2Seq)是一个编码器-解码器 (Encoder-Decoder Mechanism)结构的神经网络,输入是序列(…

【C#个人错题笔记】

观前提醒 记录一些我不会或者少见的内容&#xff0c;不一定适合所有人 字符串拼接 int a3,b8; Console.WriteLine(ab);//11 Console.WriteLine("ab");//ab Console.WriteLine(a""b);//38 Console.WriteLine("ab"ab);//ab38 Console.WriteLine…

17个优秀WordPress LMS在线教育平台主题

为您的WordPress在线教育平台主题网站选择在线课程主题是您在建立在线教育业务时做出的最重要的决定之一。正确的主题不仅决定了您网站的外观和感觉&#xff0c;还决定了用户体验。这在构建在线课程平台时变得更加重要&#xff0c;因为您的访问者将是您的学生&#xff0c;他们会…

nodejs基于vue疫情期间网课管理系统

随着科学技术的飞速发展&#xff0c;各行各业都在努力与现代先进技术接轨&#xff0c;通过科技手段提高自身的优势&#xff1b;对于疫情网课管理系统当然也不能排除在外&#xff0c;随着网络技术的不断成熟&#xff0c;带动了疫情网课管理系统&#xff0c;它彻底改变了过去传统…

内网渗透(四十四)之横向移动篇-DCOM远程执行命令横向移动

系列文章第一章节之基础知识篇 内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内网渗透(五)之基础知识-Active Directory活动目录介绍和使用 内网渗透(六)之基…

波次分拣系统

一、系统架构&#xff1a; v1.2基站软件管理系统仓库标签v1.4仓库标签二、系统简介&#xff1a; 标签系统主要由标签服务器&#xff0c;基站&#xff0c;电子标签前三部分组成&#xff0c;操作界面借助于京东仓库已有的作业电脑来实现&#xff0c;标签服务器与WMS进行数据对接。…

罗技LogitechFlow技术--惊艳的多电脑切换体验

作者&#xff1a;Eason_LYC 悲观者预言失败&#xff0c;十言九中。 乐观者创造奇迹&#xff0c;一次即可。 一个人的价值&#xff0c;在于他所拥有的。所以可以不学无术&#xff0c;但不能一无所有&#xff01; 技术领域&#xff1a;WEB安全、网络攻防 关注WEB安全、网络攻防。…

mysql 索引原理和使用

一、索引是什么&#xff1f; 1.1. 索引是什么 当一张表有 500 万条数据&#xff0c;在没有索引的 name 字段上执行一个查询&#xff1a; select * from user_innodb where name ‘jim’; 如果 name 字段上面有索引呢&#xff1f; ALTER TABLE user_innodb DROP INDEX idx_n…

快学会这个技能-.NET API拦截技法

大家好&#xff0c;我是沙漠尽头的狼。 本文先抛出以下问题&#xff0c;请在文中寻找答案&#xff0c;可在评论区回答&#xff1a; 什么是API拦截&#xff1f;一个方法被很多地方调用&#xff0c;怎么在不修改这个方法源码情况下&#xff0c;记录这个方法调用的前后时间&…