如何为英特尔可信执行环境(TXT)提供TPM?
为了使Intel TXT工作,必须提供TPM。Intel提供了一些这样做的工具,但很多都是由非公开登录或NDA保护的。许多OEM平台供应商在制造时提供他们的板和机器,以便最终用户可以使用TXT。尽管如此,我很难找到TPM需要使用TXT的详细信息。
TXT配置TPM芯片WRT的细节是什么?
此外:还有TXT的服务器和客户端TPM配置。这两者有什么区别呢?
回答 1
Security用户
发布于 2019-01-06 23:43:43
Intel TXT是一个复杂的系统,旨在提供硬件层的安全性,以防止软件层的更改导致攻击者访问的增加。通过对固件、bios和OS负载使用已知良好状态的存储散列,TXT可以指示在已知的良好状态之外发生了变化。这有助于在环境中识别潜在的rootkit。
据英特尔称,TXT的使用取决于:
Intel TXT需要一个带有Intel VT的服务器系统、一个启用Intel TXT的处理器、芯片组、ACM、启用的BIOS和与Intel TXT兼容的MLE (OS或hypervisor)。此外,Intel还要求系统包含可信计算组(http://www.trustedcomputinggroup.org)定义的TPM v1.2,以及用于某些用途的特定软件- https://www.intel.com/content/www/us/en/architecture-and-technology/trusted-execution-technology/trusted-execution-technology-security-paper.html
现在,TXT最初是为工作站组件设计的,在任何给定的时间,只有一个OS被真正期望使用,除非主机中有虚拟实例(Type 2虚拟机监控程序)。这与服务器形成鲜明对比,服务器可能通过1型管理程序将多个主机连接到裸金属上。这需要创建一个更动态的TXT系统,在启动时评估引导OSs,而不是在初始阶段读取所有可能的主机。
除了工作站和服务器之间的差异之外,TXT并不适用于所有操作系统或所有OS配置。例如,并非所有版本的Windows 10都允许使用英特尔TXT和设备保护:
https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-device-guard
由于它涉及如何配置,它确实会根据您的硬件、固件和操作系统选择而改变。请参阅Intel配置指南:
https://security.stackexchange.com/questions/127173
复制相似问题
腾讯云开发者
