In pratica, TPM SRK viene decodificato da EK prima di decodificare le sue chiavi figlio

1

So che TPM SRK è stato generato quando l'utente ha acquisito la proprietà del TPM ed è crittografato dalla parte pubblica EK. Tutte le chiavi figlio sotto SRK devono essere caricate in TPM e decodificate da SRK prima dell'uso. (Questi sono ciò che ci dicono i libri.)

Tuttavia, sembra che diversi produttori abbiano un design di implementazione diverso per EK & SRK. La mia domanda è: in pratica, ad es. se SRK decrittografa una chiave figlio caricata, si verifica veramente un processo di decrittografia da parte privata di EK prima? Puoi anche capire questa domanda in un altro modo: senza alcuna chiamata / uso, l'SRK è memorizzato nella memoria non volatile in formato crittografato?

Chiedo questo perché ho scoperto che molti prodotti reali TPM hanno sempre qualcosa di diverso da ciò che i libri ci dicono. per esempio. In alcuni TPM, EK è vuoto, il cliente ha bisogno di generare EK da solo prima di assumere la proprietà del TPM; EK può essere cambiato una volta in alcuni prodotti TPM; generazione di certificati utilizza SRK invece di EK pubblico, ecc. (tutti gli esempi sopra riportati sono disponibili su TPM 1.2. Non menzioniamo qui TPM 2.0)

    
posta Li Dong 09.12.2015 - 08:15
fonte

1 risposta

2

L'SRK non è crittografato da EK. Non è necessario che entrambi siano crittografati. La loro sicurezza si basa sulla loro protezione fisica e sulla logica del TPM stesso - nessuna API deve fornire la propria porzione privata.

Il fatto che alcuni TPM richiedano alcune operazioni speciali per creare EK dopo la produzione è descritto nelle specifiche. Si prega di consultare la pagina 15 circa Profilo di protezione PC specifico della piattaforma fidata del modulo TPM Famiglia 1.2 .

    
risposta data 29.11.2016 - 04:54
fonte

Leggi altre domande sui tag