Posso programmare il chip TPM per eseguire un pezzo di codice in modo sicuro proprio come nell'esecuzione del codice nell'area TrustZone? In particolare, l'applicazione verrà eseguita nel mondo normale, ma alcune parti di esso dovrebbero essere eseguite in un mondo sicuro, quindi posso utilizzare TPM per questo scopo?
No. Un TPM offre un set fisso di funzionalità che non include l'esecuzione di codice arbitrario. Il set di funzionalità ruota attorno all'utilizzo delle chiavi nel TPM per un set fisso di funzionalità, principalmente l'autenticazione (a dimostrazione del fatto che un valore è stato firmato su questo particolare computer), l'archiviazione legata al dispositivo (crittografia dei dati in modo tale da poter essere decifrata solo su questo particolare computer) e l'attestazione della piattaforma (dimostrando che la memoria del computer è in uno stato noto). L'unico modo per estendere il set di funzionalità del TPM è quello di far lampeggiare un nuovo firmware, e questa capacità è limitata al produttore e potrebbe esserci spazio per pochi punti di patch in ogni caso.
Al contrario, TrustZone è semplicemente una funzione di isolamento. Non impone alcun vincolo su cosa (o quanto) codice viene eseguito nel mondo sicuro. Se il sistema operativo del mondo protetto lo consente, è possibile installare applicazioni che preformano il calcolo arbitrario con i tasti associati al dispositivo. Ovviamente, se non sei il produttore di chip, spesso non avrai le chiavi necessarie per installare il codice nel mondo sicuro.
Sufficientemente recenti chip Intel offrono funzionalità un po 'simili (ma con un'architettura molto diversa) attraverso TXT . TXT utilizza il TPM per autenticare il codice che viene eseguito in una partizione TXT e memorizza i dati della partizione in modo sicuro, ma l'applicazione viene eseguita sulla CPU principale, non sul TPM.
A seconda dell'implementazione del TPM, esistono TPM discreti (chip dedicati) che funzionano in modo simile agli ASIC in quanto hanno circuiti definiti per eseguire in modo efficiente operazioni coerenti e non sono chip generici. Non possono eseguire codice arbitrario.
I TPM integrati sono simili in quanto sono circuiti fissi su una scheda e non possono eseguire funzioni arbitrarie.
TPM software e TPM virtualizzati sono diversi, possono essere indeboliti come qualsiasi software o macchina virtuale.
TPM è un termine generale, non il vero chip. In alcuni documenti si riferisce generalmente all'intero sistema, in altri si riferisce a una rappresentazione generale del chip. I chip sono specifici per ciascun produttore.
Non puoi programmare il chip intel (TXT è closed source, quindi solo intel can).
L'equivalente di AMD (PSP, alter rinominato Secure Technology / HVB) era considerato open source, quindi almeno in teoria può essere riprogrammato.