没有可信第三方的基于TPM的身份验证
提问于 2016-02-01 05:49:53
考虑一个场景-设备制造预先提供了TPM的批注密钥证书(包含EK公钥)来部署设备。
- 一般来说,需要一个批注密钥(EK)处理的TPM操作是什么?
- 认证标识密钥(AIK)的根密钥是什么?是EK还是SRK(存储根键)?
- EK &设备身份验证--是否有像签名/密码这样的TPM操作可以用EK完成,这样我就可以使用EK公共部分来验证设备了吗?
- 如果我们永远无法跟踪/验证与EK,为什么裤子API提供一个手柄的EK?我觉得裤子可以在内部决定什么时候使用EK,避免了应用程序程序员对实现细节的关注。
回答 1
Security用户
回答已采纳
发布于 2016-06-29 00:47:21
需要EK的TPM操作:
- 取得所有权
- 清除TPM
- 更改SRK
- 更改所有者(显然)
- 允许使用SRK (tpm_restrictsrk -a)读取SRK --基本上,这些都是管理操作。
AIK的根键是EK。EK的目标是证明我们发送的一切都来自有效的TPM。所以是的,你可以用你的EK签署,但会有一个隐私问题:每次你使用你的EK,你将是可追踪的。这就是为什么创建AIK的原因,以证明您是一个有效的TPM,而不被任何人跟踪(至少由CA跟踪,这就是我们使用DAA的原因)。
你的第四个问题很有趣,因为你不是第一个提出这个问题的人。因此,TPM2.0规范将所有这些操作分开。有代理层次结构(管理隐私域的管理员)、存储层次结构(管理安全域的用户)和平台层次结构(可以拒绝使用其他层次结构的平台)。
显然,背书层次结构可能会生成背书密钥,您可以使用这些密钥对数据进行签名。
有关更多信息,您可以查看此pdf格式
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/112398
复制相关文章
![解决IDEA插件安装慢、超时、不成功问题[通俗易懂]](https://ask.qcloudimg.com/http-save/yehe-8223537/e89e6a172efb8bdbeaf216636742f674.png)
腾讯云开发者
