È corretto sigillare i dati su TPM SRK direttamente?

Naviga le tue risposte
1

Durante la revisione di vari programmi e librerie TPM, l'ho notato quando si sigillano i dati sul TPM, viene sempre creata una nuova chiave (racchiusa da) SRK) e la nuova chiave viene caricata e utilizzata nell'operazione di tenuta. Quando si chiude, la chiave secondaria deve essere prima caricata (scartata) prima dell'operazione di unseal può essere eseguito.

È necessario creare una nuova chiave per ogni operazione di sigillatura, o l'SRK può essere usato direttamente per sigillare i dati? Se è necessario, quali sono la sicurezza e / o ragioni pratiche per cui è necessario?

    
posta frasertweedale 11.02.2016 - 08:33
fonte

1 risposta

1

In teoria, è possibile che un'operazione di sigillatura abbia bisogno di una chiave di archiviazione e che SRK sia una chiave di archiviazione. In pratica, non è implementato come di solito all'SRK viene dato il WKS (Well-known-Secret = 20 byte di 0x0) o una password vuota, quindi per quanto riguarda la dimensione di sicurezza, non è una buona idea.

EDIT: ho appena controllato in TrouSerS, tpm_sealdata crea una chiave con keyCreateKey che chiama Tspi_Key_CreateKey che necessita di una chiave wrapping. tpm_sealdata chiama keyCreateKey con SRK. Quindi se usi TPM 1.2 e TrouSerS, hai bisogno di un wrapper, e questo wrapper è SRK. Non so come sia fatto per il TPM 2.0

    
risposta data 15.06.2016 - 16:33
fonte

Leggi altre domande sui tag

Devo mostrare la risposta di sicurezza quando l'utente torna a modificare il campo? Come si sfrutta un tunnel SSL?