AIK del TPM è accessibile pubblicamente?

1

Non capisco molto bene il concetto di modulo di piattaforma affidabile. da quello che ho capito AIKs sono inviati ai server per l'autenticazione. Ciò significa che due computer di identificazione stanno comunicando che potrebbero apprendere l'AIK dell'altro? TPM pubblica tutte le informazioni per impostazione predefinita ogni volta che si avvia la comunicazione?

    
posta eskoba 17.02.2017 - 11:31
fonte

1 risposta

0

In realtà, le AIK non vengono inviate ai server generici per l'autenticazione. C'è un ulteriore livello di riferimento indiretto: l'AIK viene utilizzato per firmare un CK (chiave certificata) e il CK viene utilizzato per l'autenticazione. Vedi TPM: chiave di firma o chiave di identità dell'attestazione? Ma se un computer con un TPM esegue l'autenticazione utilizzando il TPM su un server remoto, quindi il server remoto apprende l'AIK. (La chiave pubblica, ovviamente - un AIK è in realtà una coppia di chiavi e la parte privata non esce mai dal TPM.)

Si noti che un AIK non identifica un TPM in un modo che consenta di seguirlo attraverso diversi usi. Un TPM può generare più AIK. L'aspettativa è di generare uno separato per ogni servizio al quale il computer è iscritto (ad esempio uno per convalidare le connessioni alla rete aziendale, l'altro per autenticare una banca, ecc.). Diversi AIK dello stesso TPM non possono essere identificati come correlati (a meno che il servizio di registrazione AIK non abbia svolto un lavoro errato).

Inoltre, si noti che il TPM stesso non comunica. Il TPM effettua misurazioni di integrità dello stato del sistema (cioè verifica che CPU e memoria siano in uno stato approvato) e detiene chiavi con cui può crittografare e firmare queste misurazioni e altri dati. Ciò che viene trasmesso sulla rete è responsabilità delle applicazioni in esecuzione sul sistema operativo della CPU. Scegliendo quale AIK utilizzare per quale partner di comunicazione è responsabilità dell'applicazione (e possibilmente il sistema operativo, che esegue il controllo dell'accesso in modo che le applicazioni possano solo effettuare determinate richieste al TPM), è fuori dalle mani del TPM.

    
risposta data 17.02.2017 - 14:34
fonte