C'è qualche motivo per memorizzare un certificato in un TPM?
Da quanto ho capito un certificato è di dominio pubblico. L'unica preoccupazione per i certificati è l'accettazione di un certificato canaglia.
Ci sono alcuni certificati che hanno senso memorizzare in un TPM e ognuno di essi è un certificato per, o relativo al TPM. Il certificato della chiave di approvazione (EK), spesso emesso dal produttore del TPM, può essere memorizzato sul TPM. I certificati di piattaforma, i certificati di conformità e i certificati di conformità della piattaforma possono anche essere memorizzati sul TPM. Ciascuno di quei certificati che ho elencato ha un indice designato da memorizzare nell'archivio TPM NV, tuttavia, qualsiasi blob di dati - certificato o altro - può essere memorizzato sul TPM, purché ci sia spazio disponibile.
La ragione per archiviare qualsiasi cosa nel TPM è che la memoria può essere persistente sul computer. Non è sul disco rigido e non è gestito da un sistema operativo. I produttori di TPM e di piattaforma immettono i certificati TPM sul TPM in modo che siano disponibili quando l'utente finale esegue la partizione delle unità e carica un sistema operativo. A seconda della situazione, un utente finale potrebbe voler archiviare altri dati lì per gli stessi motivi. Ad esempio, il doppio avvio per i volumi crittografati o lo scambio di unità tra i sistemi operativi, se si desidera archiviare un po 'di dati. Questi dati potrebbero anche essere un blob della chiave di identità crittografato.
Lo storage NV del TPM è limitato, un po 'lento e difficile da gestire. Non dovrebbe essere usato ad eccezione di situazioni in cui i vantaggi superano gli svantaggi. Sono poche le situazioni.
I certificati TPM sono, per la maggior parte, proprio come qualsiasi altro certificato. Il certificato EK è un certificato a chiave pubblica, contenente la parte pubblica della chiave di identità / archiviazione per tutta la vita del TPM. Generalmente è firmato dal produttore del TPM. È comunque necessario convalidarlo utilizzando una catena di certificazione che può essere ottenuta dal sito Web del produttore. Per sapere che il TPM contiene la parte privata di quella chiave, è necessario eseguire una delle poche azioni che costringono il TPM a decodificare qualcosa che è stato crittografato con la chiave pubblica trovata nel certificato. Dopo aver eseguito queste attività, dovresti avere la certezza che il certificato è valido. Il certificato di piattaforma è un certificato di attributo e non contiene una chiave pubblica. È firmato dal produttore della piattaforma e deve essere convalidato rispetto alla catena di certificati del produttore. Il certificato della piattaforma contiene il numero di serie del certificato EK nella parte firmata, in modo da avere la certezza che il produttore della piattaforma intendesse i due certificati da abbinare.
Leggi altre domande sui tag certificates