TPM: chiave di firma o chiave di identità dell'attestazione?

6

In questo momento ho a che fare con il TPM e non capisco perché sia necessaria una chiave di firma aggiuntiva. Invece si potrebbe usare anche una delle Attestation Identity Keys (AIKs) per la firma ?! Usare chiavi diverse deve essere una buona pratica, ma mi piacerebbe avere una visione più dettagliata su questo argomento.

Ho capito che un vantaggio è che la chiave di firma può essere migrata. Quindi cambiare la piattaforma / tpm non finirebbe necessariamente con la revoca dei certificati creati.

Esistono ulteriori motivi per una chiave di firma separata?

    
posta onb 07.03.2015 - 13:44
fonte

1 risposta

6

AIKs può eseguire solo due operazioni basate su firma:

  • TPM_Quote , che genera un'istruzione firmata dello stato dei PCR usando un AIK; questa è l'operazione usata in attestato remoto .
  • TPM_CertifyKey , che genera un'istruzione firmata che un'altra chiave ( non l'AIK) si trova nella gerarchia di memoria del TPM e non è migrabile. (Ovviamente, la chiave così certificata deve avere queste proprietà.)

In particolare, AIKs non può essere utilizzato in TPM_Sign , il che significa che è impossibile firmare dati arbitrari. Altrimenti, sarebbe possibile generare una citazione falsa e l'attestato remoto sarebbe rotto.

(Al contrario, TPM_Quote deve utilizzare un AIK; non può utilizzare una chiave di firma.)

TL; DR: se è necessaria una chiave per firmare dati arbitrari, utilizzare una chiave di firma. Se stai eseguendo l'attestazione remota, utilizza un AIK.

    
risposta data 10.04.2015 - 17:52
fonte

Leggi altre domande sui tag