可信计算组织（Ttrusted Computing Group,TCG）是一个非盈利的工业标准组织，它的宗旨是加强在相异计算机平台上的计算环境的安全性。TCG于2003年春成立，并采纳了由可信计算平台联盟（the Trusted Computing Platform Alliance,TCPA）所开发的规范。现在的规范都不是最终稿，都还在不断的更新中，比如：TPM的规范就从原来的v1.0更新到v1.2，现在还在不断的修订。

SHA1-Impact_V2.0

简介

本文档列出了TPM v1.2规范中SHA-1的使用情况，并对2005年发现的碰撞袭击对其影响进行了评估。总的来说，TCG 采取了一些预防措施来防止碰撞攻击，例如在做哈希前使用新的随机生成值或外部未知的随机生成值。此外，在数据中使用固定结构阻碍了攻击者操纵数据以有效地执行冲突攻击的发生。我们确实发现了一种极端情况，即RSA签名命令在签名之前可能会对输入进行散列，在这种情况下，TCG 不经意的选择了 TPM 之外的数值来连接到待签名数据，如果外部选择新的随机生成的值，在这里不会有问题，否则 TPM 需要提供保护 SHA-1 碰撞攻击的其他方式。

SHA 引擎的主要目的

TPM 包含了以下命令来实现一个通用目的的 SHA-1 引擎：

TPM_SHA1Start
TPM_SHA1Update
TPM_SHA1Complete
TPM_SHA1CompleteExtend

这个能力有助于 SHA-1 哈希的计算，TPM 暴露这些命令方便平台使用。TPM 在执行 SHA-1 会话过程中禁用了其他任何命令的处理。如果在TPM_SHA1Start和TPM_SHA1Complete/TPM_SHA1CompleteExtend中收到TPM_SHA1CompleteExtend以外任何命令，TPM 会将会话无效。

影响：

SHA-1 引擎只是一个服务，所以碰撞攻击影响对其自身而言是不确定的。SHA-1 引擎是 TPM 的必要组件，下面章节中描述了 TPM 如何使用这个服务，进一步的讨论在这些场景下碰撞攻击的影响。

PCR 扩展

TPM_Extend 命令使用 SHA-1 和 PCR 寄存器连结，输入是 20 个字节，通常是在 TPM 外部进行计算的。TPM 使用 SHA-1 来扩展一个 PCR 如下：

New_PCR_Value = SHA-1(Old_PCR_Value || Input_Digest).

影响：

TPM_Extend的输入参数是高度结构化的，即只有20字节的输入，那么攻击者只能操作者 20 字节而不是原文，这样的去构造碰撞是非常困难的。

审计摘要 Audit digest

除了审计命令本身以外，TPM 能够对其他任何命令进行审计。TPM 管理员（拥有者）可以控制那些命令需要被审计，当 TPM 命令执行可审计命令时（默认情况下，128个命令中有23个命令是可审计的），会使用 SHA-1 来对命令的输入进行哈希，然后扩展到审计摘要寄存器，这个寄存器在TPM_Startup或者之前审计会话关闭后被设置为 NULL，扩展的方式和 PCR 扩展相同。摘要同时合并一个标签和TPM_COUNTER_VALUE结构，增加了更多的结构。当 TPM 响应一个可审计命令时，TPM 同时也会对输出参数做哈希，并且扩展到摘要审计寄存器中。所有的哈希和扩展操作都使用 SHA-1，只有 5 个审计命令不使用 SHA -1 引擎。

影响：

所有的 TPM 命令和响应都是高度结构化的，即使攻击者有能力改变输入参数，他也无法操作 TPM 的响应。攻击者无法控制 TPM 响应的输出参数，因此无法成功进行上述的碰撞攻击

PCR 引用

TPM 有两个 PCR 引用命令，TPM_Quote和TPM_Quote2，这个命令会用SHA-1来讲 PCR 寄存器连接起来。输入是一个最多 5 字节的索引，用来选择 PCR 寄存器子集。TPM 填充一个包含这些 PCR 的结构，将其哈希并签名。输出是选择的 PCR 组的 SHA-1 签名。

影响：

TPM Quote 的输入是高度结构化的参数，潜在的攻击者只能操作 5 个字节，以选择不同的 PCR 集合。即使攻击者通过 TPM_Extend 指令成功的操作了 PCR，该动作也会触发其他依赖 PCR 的安全特性。这相当于修改了原像，即 SHA-1 无法解决。尽管 quote 结构能够包含 20 字节的外部数据供攻击者使用，实际上也很难形成实用的攻击。所以攻击者无法通过操作该命令的输入来实时碰撞攻击。

RSA 签名

TPM 有一个 RSA 签名命令，TPM_Sign，会在生成签名前用到 SHA-1。这个命令处理三种不同的场景。前两种场景是提供的数据大小小于签名密钥长度，因此 TPM 不会对数据进行哈希。最后一种情况是，TPM 创建一个结构包含字符串“SIGN”、一个防重放攻击的nonce以及将要别签名的数据。SHA-1 会对这个结构进行哈希、签名作为响应输出。

影响：

说实话，增加防止重放攻击的nonce已经能够阻止潜在的攻击了，不行的是 TCG 选择了外部生成 nonce 而不是在 TPM 内部随机生成，这给攻击者提供的操作空间。这种情况下，攻击者有可能操作函数输入创建能够影响签名的碰撞攻击。然而，TPM 的完整性和其他函数的安全性仍然保持完整的。

密钥结构（Blobs）

下面的密钥结构包含了 SHA-1 计算的摘要：

TPM_STORE_ASYMKEY
TPM_SEALED_DATA
TPM_MIGRATE_ASYMKEY
TPM_CERTIFY_INFO
TPM_CERTIFY_INFO2
TPM_DELEGATE_KEY_BLOB

这些密钥结构频繁嵌入加密区域里的公共区域的摘要，还有整个密钥结构的摘要，提供统计学意义上唯一的标识。

影响：

一些摘要用来保护固定共有结构，攻击者几乎没有可操作空间。另一些摘要被加密了，也就是说操作这些数据等同于要破解 RSA，这样可以看出攻击者也很难能利用碰撞攻击搞事情。

对称算法的 IV 和 Counter

TPM 基于 SHA-1 对于 TPM 生成的随机数和用户提供的数值来生成初始向量 IV 和初始计数值。

影响：

既然 SHA-1 的输入是 TPM 产生的随机数，攻击者就无法操作这些输入来进行碰撞攻击，也就无法控制 IV 和 Counter来攻击对称加密算法。

授权会话 Authorization Sessions

TPM 建立并维持这些授权会话，HMAC 算法使用 SHA-1 来提供完整性以及防重放特性。

影响：

TPM 使用内部生成的新鲜的随机数来生成 nounce，所以这些会话都能抵抗 SHA-1 碰撞攻击。

DAA

TPM 使用 SHA-1 来验证 DAA 算法本身的摘要，这也是协议内部固定的结构。同时也用 SHA-1 来对算法参数和固定结构进行哈希

影响：

DAA 的参数是固定大小的非随机数值，结构也是固定的。攻击者没有太多机会操纵参数和结构实现碰撞攻击，除非破解 DAA 算法本身

身份密钥 Identity Keys

TPM 能够创建、激活身份密钥，当激活身份密钥时，TPM 会创建并验证固定密钥结构和其他结构的摘要值。

影响：

固定的结构/格式使得攻击者无机可乘

传输会话

TPM 传输会话具有记录日志功能选项。即使没有日志选项，也有很多传输会话命令会有一些生成 SHA-1 摘要的调用。

影响：

同上，固定结构，无法攻击。

通过上下文命令保存 TPM 资源

TPM 能够通过 TPM_SAVECONTEX 命令来保存 TPM 资源，同时通过 TPM_LOADCONTEX 来重新加载这些资源。TPM 使用 SHA-1 来计算整个上下文的完整性，然后对敏感区域和随机生成的攻击者无法得知的随机数进行加密。在加载资源时，会验证摘要值。

影响：

这种机制能够阻止碰撞攻击。

代理 delegation

TPM 允许需要管理员权限的个别命令代理给一些用户而不用授权其所有权限。用户也可以通过密钥授权代理密钥。代理表单的摘要是通过 SHA-1 计算的，来验证这些摘要、对称密码的 IV 和密钥流。

影响：

因为密钥流是用来保护授权数值的，这个不是必须的，所以我们对其进行考虑。IV 的创建使用新鲜的随机数生成的随机值，能够抵抗碰撞攻击。最后代理块是高度结构化的，并且哈希中包含了攻击者无法得知的随机值，所以这些摘要也能抵抗碰撞攻击。

迁移

TPM 允许特定密钥迁移到其他地方。更复杂使用场景是密钥的认证迁移，即从一个 TPM直接或间接的到另一个 TPM。使用 SHA-1 来计算结构化的哈希并验证摘要

影响：

既然迁移授权的摘要中包含随机生成的数值，攻击者并不知道，所以这个能够抵抗碰撞攻击。密钥和密钥结构是高度结构化的，私有区域也是加密的。操纵加密区域等同于破解 RSA 2048 算法，这个在目前来说也是不可能的。因此攻击者无法进行使用密钥摘要进行碰撞攻击。对于那些复合密钥摘要也是同样的。

参考

1.TCG 工作组规范合集

2. 更多 TPM 应用信息参考

Ken Goldman, e-mail dated July 7, 2006
Michael Szydlo, “SHA1 Collisions can be Found in 2^63 Operations”, http://www.rsa.com/rsalabs/node.asp?id=2927, RSA Laboratories, August 19, 2005. TCG, “TPM Main Part 1 Design Principles”, v1.2, revision 103, October 26, 2006
TCG, “TPM Main Part 2 TPM Structures”, v1.2, revision 103, October 26, 2006
TCG, “TPM Main Part 3 Commands”, v1.2, revision 103, October 26, 2006 Wikipedia, “SHA Hash Functions”, http://en.wikipedia.org/wiki/SHA_hash_functions, March 31, 2010