Attento, la terminologia sta davvero diventando interessante qui.
So che l'errore è onesto, ma non ha senso nemmeno chiedere della migrazione di queste chiavi.
Il Endorsement Key
non è "non migrabile". L'idea di migrazione non si applica nemmeno a queste chiavi. È speciale La sua parte privata è completamente inaccessibile all'esterno del TPM. Discutere la sua candidatura per la migrazione è palesemente scorretto, imho.
Detto questo, la tua domanda diventa ambigua.
Se stai chiedendo "perché non posso trasferire l'EK a un altro TPM" , che viene applicato dalle specifiche TPM di TCG, il design considera questo astratto chiave come identità di root di un chip discreto.
Se stai chiedendo a "in che modo un TPM mantiene questa chiave speciale al sicuro" , le altre risposte sono indirizzate a questo; l'implementazione è specifica del venditore. Un TPM IC fisico sarà probabilmente progettato per proteggere fisicamente la chiave in qualche modo, e un TPM software avrà ovviamente (ben testato spero) codice che non fornisca un percorso di codice per emettere la chiave.
EDIT: ho modificato la mia risposta sopra per discutere solo l'EK. In precedenza ho incluso l'SRK anche in questi termini. Tuttavia in Una guida pratica al calcolo sicuro , capitolo 3, gli autori discutono l'SRK in termini di non migrabilità. Tuttavia, essi non discutono l'EK in questi termini, suggerendo, come propongo, che questa chiave è unica.