Quando estendere PCR [chiuso]

Naviga le tue risposte
1

Il significato computazionale dietro l'estensione della PCR è facilmente individuabile e chiaramente spiegato. Semplicemente, sta estendendo l'hash. È così semplice che penso che tutti si dimentichino di dire perché è fatto e come è gestito, lasciandomi alcune ipotesi:

Chiaramente la PCR serve per affermare lo stato di ciò che è stato misurato, e quindi l'entità che esegue la misurazione dovrebbe essere il proprietario della PCR.

  • Assunzione 1: Nulla / nessun altro dovrebbe estenderlo, poiché la precedente PCR andrebbe persa.

  • Assunzione 2: ogni volta che la PCR viene aggiornata, deve essere aggiornato anche l'elenco delle misure da eseguire. Altrimenti l'hash di misura e la PCR non corrisponderebbero più.

posta Michael 20.06.2017 - 07:47
fonte

1 risposta

2

Ci sono due linee guida da tenere a mente per estendere le PCR:

  • Ogni volta che viene eseguita una misurazione della piattaforma, un hash di quella misurazione dovrebbe estendere una PCR.
  • La località e la radice principale della fiducia per la misurazione (CRTM) utilizzata, insieme alle regole della piattaforma, determinano quale PCR deve essere estesa.

Il ruolo del TPM come la radice principale della fiducia per i rapporti (CRTR) deriva dalla possibilità di firmare una citazione su un insieme specifico di PCR. Solo le misure estese alle PCR possono essere coperte dalla firma TPM. Inoltre, qualsiasi funzione che blocchi l'utilizzo della chiave per i valori della PCR può essere influenzata solo dalle misurazioni che estendono le PCR.

Quale PCR estendere può essere alquanto complicato e potrebbe semplicemente richiedere una decisione autonoma. Il TCG ha linee guida per i client PC basati su BIOS o EFI. Tali linee guida specificano che le PCR 0-7 devono essere utilizzate per le misurazioni eseguite dal BIOS / EFI stesso (o almeno basate sul CRTM statico) prima che un sistema operativo sia stato avviato. I prossimi 8 PCR sono fondamentalmente riservati al "sistema operativo sicuro" che gira sul CRTM statico esteso. All'interno di quel gruppo, la decisione su quali PCR vengono utilizzati dipende dal sistema operativo. Windows e Linux utilizzano un set diverso di PCR per le misurazioni. All'interno di Linux, GRUB e IMA possono utilizzare PCR diverse.

Dai un'occhiata ai PCR usati sulla tua piattaforma, e vedi quali rimangono inutilizzati, e c'è una buona possibilità che tu possa usarne uno per i tuoi scopi. Le specifiche TPM riservano alcune PCR per uso speciale o test. Si consiglia di stare lontano da questi per l'uso di produzione, ma si consiglia di usarli per lo sviluppo. (Una PCR che può essere ripristinata dall'utente senza richiedere il riavvio non è eccezionale per la sicurezza, ma è una funzionalità davvero utile per lo sviluppo del tuo caso d'uso.)

Hai ragione nel ritenere che tutto ciò che estende una PCR debba essere registrato, anche se ci sono situazioni per le quali questo non è probabilmente necessario. Se stai semplicemente bloccando qualcosa su un determinato valore PCR, potresti non interessarti a come quel valore è stato raggiunto - solo che era . Quando si esegue l'attestazione remota, la valutazione della firma che copre le misurazioni richiede la possibilità di replicare i valori delle PCR dalle misurazioni, che a loro volta richiedono un registro delle misurazioni che preserva l'ordine.

    
risposta data 20.06.2017 - 15:40
fonte

Leggi altre domande sui tag

Come filtrare i pacchetti "dati applicativi" di PCAP per TLS? Protezione di un'API di riposo con un client