对于TPM,最初的PCR值是如何与“好”值相结合的?
对于TPM,最初的PCR值是如何与“好”值相结合的?
提问于 2018-08-23 13:47:02
我试图了解更多关于可信引导/受信任平台模块的知识,并且我理解平台配置寄存器(PCR)值是由TPM芯片中锁定的密钥签名的“良好”配置的度量。
我不明白的是,这些初始的“好”状态是如何在PCR值中设置的。是签名授权允许bios供应商或引导加载程序/内核维护人员签署发行版及其“良好”度量,还是在机器第一次启动时记录了什么?
另外,如果有人升级了内核,那么这些PCRs是如何被填充和识别为“好的”的,这是否是一个签名授权,还是需要重新设置PCRs并重新设置良好的配置?
抱歉,如果我在这里的理解中有漏洞,试图抓住一个相当复杂的话题。
回答 1
Security用户
发布于 2020-04-06 01:28:56
您所问的是所谓的“黄金测量”或“基线测量”的PCR值,这些值可以由平台制造商(如戴尔)或平台管理员(如您所在部门的IT部门)进行。这些值被保存并由TPM进行验证。这是“供应过程”的一部分。
请查阅"TCG TPM v2.0供应指南“一书中的第10节和第11节。
更新系统时,PCR值将发生变化。这意味着您的更新包应该能够自动地带来您的PCR,包中的新值,或者平台管理员必须执行另一个黄金度量。在某些情况下,在更新系统之前,您可能不得不暂时禁用一些依赖于PCR值的特性--否则,当看到不同的度量时,系统可能停止工作。
例如,这里有一个BIOS修订历史记录列表,它为每次更新都提供了PCR0值,因为PCR0具有BIOS的度量值。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/192180
复制相关文章
相似问题
腾讯云开发者
