「TCG 规范解读」第7章 TPM工作组 TPM 总结

news2024/11/24 3:20:24

 可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强在相异计算机平台上的计算环境的安全性。TCG于2003年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alliance,TCPA)所开发的规范。现在的规范都不是最终稿,都还在不断的更新中,比如:TPM的规范就从原来的v1.0更新到v1.2,现在还在不断的修订。

Trusted-Platform-Module-Summary_04292008

总结


TPM 是一个能够安全存储用于认证平台(PC 或笔记本等)的数据的芯片或者说微控制器。这些数据包括密码、证书、机密密钥等。TPM 也可以用来存储平台度量值,用来保证平台一直可信。

认证(保证平台能够证明其和它声称的一样)和证明(帮助证明平台可信性的过程)是保证在所有环境下计算安全的必要步骤。

TPM 可以用在 PC 意外的计算设备上,比如手机、网络设备等。

图1 TPM 组件

 从图1可以看出,TPM 中包含的组件有:非易失安全存储、安全平台配置寄存器 PCR、安全程序执行引擎、平台身份密钥 AIK、随机数生成器、哈希、密钥生成以及安全 IO。

TPM 本质上是使用基于硬件密码学来保证硬件中的信息被更好的保护,防护外部软件攻击。基于此,可以开发出很多安全应用,它们将其密钥存储在TPM中。要想从这些应用中获取敏感信息相当困难,除非得到授权,即使设备被盗也没关系。如果通过非授权访问导致 TPM 配置改变,那么也就无法访问 TPM 中的数据,因为这些数据都是和配置信息密封在一起的,配置信息改变后,数据也就无法访问了。

虽然如此,我们仍然记住,TPM 不能控制 PC 上运行的软件。TPM 可以预先存储一些配置参数,但是需要其他应用来决定和实现对于这些信息访问的策略。

一些类似签名这种需要密钥的过程在 TPM 中能够变得更安全。军队关键应用需要更高的安全防护,比如安全邮件、安全文档管理,使用 TPM 能够达到这些安全要求。例如,如果在 PC 开机过程中如果 TPM 检测到 PC 的配置有变化,访问更高安全级别的应用将被阻止除非对此进行特殊处理。使用 TPM 能够安全的对邮件进行签名,通过远程证明,可信网络中的其他设备可以决定是否相信其他设备。证明以及其他 TPM 过程不会传输任何平台用户的个人信息。

这些能力能够提升很多计算领域的安全性,包括电子商务、政务服务、在线银行、通信安全等其他对安全有要求的领域。基于硬件的安全能够提升对 VPN 的保护、无线传感器网络、文件加密(比如微软的 BitLocker)以及密码/PIN/凭证管理等。TPM 规范是操作系统无关的,其软件栈已经在很多操作系统上可用。

TPM 1.2 是用 RSA、SHA1、HMAC密码算法。

可信计算组织(TCG)是一个由约140家公司组成的国际标准机构,致力于创建规范,这些规范定义了PC TPM、其他设备的可信模块、可信基础设施要求、操作可信环境所需的API和协议。规范完成后,将发布给技术社区,并可从TCG网站下载。

如果没有标准的安全程序和共享规范,可信环境的组件就不可能进行互操作,可信计算应用程序也无法在所有平台上运行。特定解决方案无法确保全球互操作性,而且由于对加密和安全专业知识的访问更加有限,严格审查过程的可用性降低,因此无法提供可比水平的保证。从密码学的角度来看,为了与平台、其他平台和基础设施的其他元素互操作,可信模块必须能够使用相同的加密算法,这些算法经过了彻底的测试,并在发现漏洞时逐步替换或改进。在专有算法的情况下,情况并非如此。

根据市场研究报告,2007年售出了超过1亿台带有TPM的品牌PC和笔记本电脑。服务器产品开始发货基于 TPM 的应用程序,如安全电子邮件或文件加密,已经使用 TCG 规范实现。使用TCG原理来增强通信安全性的可信网络连接(TNC)产品也在上市。存储(硬盘驱动器)和移动可信模块(移动电话)的规范草案已经发布。

How_to_Use_TPM_Whitepaper_20090302_Final_3_

如何使用 TPM

利用 TPM 固有安全性实现基于硬件的终端安全指南

你真的能为一个车钥匙丢在车里时被偷的人感到难过吗?令人惊讶的是,非常类似的,许多IT管理员就是这样做的,他们没有使用自己的安全功能。TCG 安全信任根,即可信平台模块(TPM),几乎当今销售的所有企业级计算机都已经集成。

TPM是一种安全密码集成电路(IC),提供了一种基于硬件的方法来管理用户身份验证、网络访问、数据保护等,将安全性提高到比基于软件的安全。对于许多IT和运维人员来说,令人惊讶的是,TPM 可以和的企业硬件一起使用,如网络策略实施点、防火墙、Cisco交换机和路由器以及其他802.1x兼容设备。国际标准组织(ISO)的JTC1(ISO/IEC联合委员会1)已批准将TCG的TPM 1.2规范转换为ISO/IEC,标准随着目前正在进行的意见解决流程的完成 ISO/IEC 11889,第1-4部分预计将于2009年上半年发布。这将使 TPM 成为更加完善的标准安全工具,然而奇怪的是,许多组织没有利用它能力。为什么呢?潜在增加的成本和复杂性是不使用TPM的两个最常见的原因。

由于TPM作为标准设备提供,在企业层面上成本很低或没有额外成本,有超过1亿台计算机具有TPM,真正的问题肯定是复杂性,或者,事实证明,是感知到的复杂性。

一个例子是驳斥复杂性神话的最佳方式。它只需要四个简单步骤即可启用并使用TPM。

1. 从  BIOS 开启 TPM

2. 加载可用的 TPM 攻击软件

3. 开启 TPM 并获取所有权

4. 使用 TPM 生成特定的密钥比如从微软 CA 获取 VPN 证书。为了提升 TPM 的安全性,微软 CA 需要被告知使用哪一个密码安全服务商(CSP)。选择后,TPM 会生成对应的密钥对。

这些是使用 TPM 能力的第一步。有些供应商提供一些应用能够远程预配置 TPM 并管理它,省去了和每个系统接触的过程。采用这种方式,成千上万个系统可以很快实现安全配置。

一旦 TPM 被激活,用户就可以轻松的加密文件、文件夹、邮件以及安全的管理密码。为了多因子认证要求,TPM 补充了指纹读取器并将密钥和指纹安全的联系到一起,TPM 可以被用作智能卡读卡器。

计算机制造商和微软提供了详细的如何使用 TPM 的指令,包括

惠普和微软

HP-UX Trusted Computing Services Administrator's Guide HP-UX 11i v2 from Hewlett Packard and A Step-by-Step Guide to Enable Windows BitLocker Drive Encryption from Microsoft.

宏基、dell、富士康、联想(IBM)、东芝等其他电脑供应商的 TPM 使用方法类似。不过这只是开始,很多其他供应商提供了软件和应用工具来简化 TPM 使用的流程。这些包括:

• Award TCG Agent from Phoenix Technologies
• Core TCG Software Stack from NTRU Cryptosystems
• Embassy Trust Suites and EMBASSY Remote Administration Server (ERAS) from Wave
Systems
• TPM Professional Management and Support Package from Infineon Technologies AG
• Additional Developer Resource tools from TCG Members

将TPM作为现有计算机的组成部分,并获得其他企业硬件如作为Cisco路由器、集中器和交换机以及本机支持公共的防火墙、密钥基础设施(PKI)认证,该软件可以将企业安全提升到更高的级别。

IT管理员可以从本网关地获得证书(CA)并移动这些证书到进行身份验证软件组件的硬件,用户登录到域时或网络,基于硬件中的凭证执行身份验证。这提供了基于硬件的无线认证网络和虚拟专用网络(VPN),同时消除用户共享网络时共享密钥的麻烦。启用TPM后,系统管理服务器(SMS)和传统企业工具可以降低证书使用SMS和active directory 把证书固化到平台上,从而最小化随后的用户交互。

相比手动启用TPM机器,一些基础设施工具可以帮助企业快速增强网络和数据安全

参考


1.TCG 工作组规范合集

2. 更多 TPM 应用信息参考 https://www.trustedcomputinggroup.org/news/Industry_Data/TPM_applications_paper_March_28_2008.pdf. 

术语


TCG,可信计算组织;

TPM,可信平台模块;

可信度量,主体通过密码学方法对客体进行度量的方法;

皮格马利翁效应心理学指出,赞美、赞同能够产生奇迹,越具体,效果越好~

“收藏夹吃灰”是学“器”练“术”非常聪明的方法,帮助我们避免日常低效的勤奋~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/360663.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

90%的人都理解错了HTTP中GET与POST的区别

Get和Post是HTTP请求的两种基本方法,要说它们的区别,接触过WEB开发的人都能说出一二。 最直观的区别就是Get把参数包含在URL中,Post通过request body传递参数。 你可能自己写过无数个Get和Post请求,或者已经看过很多权威网站总结…

数据分析-2.必会的六大实用模型

对于刚刚接触数据分析的人来说,经常会有这样的困惑和疑问:数据分析究竟难不难?难的话难在哪?为什么有时候作分析不知道从何下手,只能眉毛胡子一把抓? 其实就连我这种已经在数据分析行业浸淫十几年的老油条…

JavaSE学习day9 集合(基础班结束)

1.ArrayList 集合和数组的优势对比: 长度可变 添加数据的时候不需要考虑索引,默认将数据添加到末尾 不能存基本数据类型。只能通过包装。 1.1ArrayList类概述 什么是集合 提供一种存储空间可变的存储模型,存储的数据容量可以发生改变 Ar…

shell脚本中那些关于时间的处理方案,你都掌握了吗?

文章目录前言一. linux中关于时间的命令有哪些?1.1 命令一: hwclock命令二:date的那些事二. 时间命令在脚本中的应用2.1 用date命令实现统计执行时间的脚本2.2 time命令3. sleep命令总结前言 大家好,我是互联网老辛,专注云原生领…

[Css]Grid属性简单陈列(适合开发时有基础的快速过一眼)

[css进阶]Grid属性简介 文章目录[css进阶]Grid属性简介典型需求网格容器的属性displaygrid-template-columns和grid-template-rowsgrid-template-areasgrid-templategrid-column-gap grid-row-gapgrid-gapjustify-itemsalign-itemsjustify-contentalign-contentgrid-auto-colum…

【面试题】ES6 如何将 Set 转化为数组

大厂面试题分享 面试题库后端面试题库 (面试必备) 推荐:★★★★★地址:前端面试题库Set 是 ES6 中新增的一种集合类型,类似于数组,但其成员的值是唯一的,即不会重复。关于Set,可以阅…

Leaf说明

什么是Leafleaf是叶子的意思我们使用的Leaf是美团公司开源的一个分布式序列号(id)生成系统我们可以在Github网站上下载项目直接使用为什么需要Leaf上面的图片中是一个实际开发中常见的读写分离的数据库部署格式专门进行数据更新(写)的有两个数据库节点它们同时新增数据可能产生…

ThinkPHP5篮球培训报名系统

有需要请私信或看评论链接哦 可远程调试 ThinkPHP5篮球培训报名系统一 介绍 此篮球培训报名系统基于ThinkPHP5框架开发,数据库mysql,前端bootstrap。系统角色分为用户和管理员。用户可注册登录,充值,报名,反馈信息等&…

手摸手快速入门 正则表达式 (Vue源码中的使用)

vue2源码 在 vue2 源码的 src\compiler\parser\html-parser.js 文件中 里面有大量的正则表达式,如下图 可以看到非常的长,不是我说,就前几行,如果没有相关的 正则表达式 的工具,我可能就被劝退了😭 这里…

反沙箱CobaltStrike木马加载器分析

前言 近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到了这一份名为chrome.exe的木马样本。 木马HASH SHA256:7fbe93d7c29b4ea4ce918f3d16a74d2930120f44d00862bdc0a1f82899…

ubuntu server系统树莓派安装mysql8.0开启远程访问

文章目录前言博客一、安装mysql8.0二、创建一个远程访问的新用户三、在MySQL配置文件中启用远程访问。四、navicat15连接mysql8.0返回10061chatgpt回复前言 百度了半天没解决,问了下chatgpt成功解决了…… 博客 一、安装mysql8.0 确认MySQL 8.0服务器已安装并正在…

【ESP32-S3】Pycharm 使用 microPython 教程(避坑)

一、下载Pycharm等操作 1.百度云下载链接 链接:https://pan.baidu.com/s/1tkbMzS5B_v-Cn4WQlTqS3Q?pwd0108 提取码:0108 2.安装 按照压缩包中的教程来,你懂的。 二、配置microPython环境 1.安装 microPython 插件 1.1 File > Sett…

【云原生】k8s之Yaml文件详解

一、K8S支持的文件格式 kubernetes支持YAML和JSON文件格式管理资源对象。 JSON格式:主要用于api接口之间消息的传递YAML格式:用于配置和管理,YAML是一种简洁的非标记性语言,内容格式人性化,较易读 1、yaml和json的主…

企业级信息系统开发学习笔记1.5 初探Spring AOP

文章目录零、本讲学习目标一、Spring AOP(一)AOP基本含义(二)AOP基本作用(三)AOP与OOP对比(四)AOP使用方式(五)AOP基本概念二、提出游吟诗人唱赞歌任务&#…

手把手教你做插件(2)模块大串联

0,前言 这篇文章笔记比较简略,大部分的操作都是和上一篇文章重复了,建议先看上一节文章,直达电梯:UE4 手把手教你做插件(1) 从代码引用插件_asiwxy的博客-CSDN博客UE4 手把手教你创建插件https:…

Windows10神州网信政府版麦克风、摄像头的使用

Windows10神州网信政府版默认麦克风摄像头是禁用状态,此禁用状态符合版本规定。 在录课和直播过程中,如果需要使用麦克风和摄像头的功能,可以这样更改: 1、鼠标右键点击屏幕左下角的开始菜单图标,选择windows中的“运…

[6/101] 101次软件测试面试之经典面试题剖析

01、自我介绍答:大家好,我是一名软件测试工程师,但我更喜欢称自己为“软件bug捕手”。我相信,软件测试工程师的使命就是让软件更加健壮、更加可靠、更加美好。我们就像是一群“特警”,在黑暗的代码中寻找漏洞和缺陷&am…

spring boot——自定义依赖实现自动配置

需求 要实现的功能是:实现一个可以支持miniooss两种方式,上传下载文件的自定义依赖。其中还包括一些创建桶、删除桶、删除文件等功能,但是最主要的是实现自动配置。 如果对spring理解很深的话,自动配置这些东西很容易理解&#…

php获取api接口数据的方法

API是应用程序的开发接口,在开发程序的时候,我们有些功能可能不需要从到到位去研发,我们可以拿现有的开发出来的功能模块来使用,而这个功能模块,就叫做库(libary)。比如说:要实现数据传输的安全&#xff0c…

传输层TCP与UDP协议

目录 传输层 传输层功能 传输层所提供的服务 传输层的两个协议 TCP协议与UDP协议 端口 端口分类 IP地址和端口的关系 UDP协议 前言: UDP报文格式 检验和的伪首部 伪首部内容 TCP协议 TCP报文格式 TCP协议数据段的理解 TCP的伪首部 伪首部内容 标…