TPM概述

最新推荐文章于 2023-05-11 19:13:58 发布
最新推荐文章于 2023-05-11 19:13:58 发布
阅读量1.8k 收藏 7
点赞数
分类专栏: 计算机基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengxiaocheng/article/details/103816782
版权

https://book.2cto.com/201512/58740.html

https://www.cnblogs.com/chenguang/p/3742220.html

https://www.cnblogs.com/embedded-linux/p/6716744.html

https://zhuanlan.zhihu.com/p/29840740

https://www.cnblogs.com/summer2017/p/7747080.html

TPM(Trusted Platform Module)安全芯片,是指符合TPM(可信赖平台模块)标准的安全芯片。标准由TCG(可信赖计算组织,Trusted Computing Group)提出,目前最新版本为2.0。
符合TPM的芯片首先必须具有产生加解密密钥的功能,此外还必须能够进行高速的资料加密和解密,以及充当保护BIOS和操作系统不被修改的辅助处理器。
TPM的可信基础来源于可信根,可信根(Root of trust)是无条件被信任的,系统并不检测可信根的行为,因此可信根是否真正值得信任,是系统可信的关键。TPM是一个含有密码运算部件和存储部件的小型系统,也可以作为另一个芯片的一部分出现,比如以太网接口。
TPM安全芯片包含了分别实现RSA、SHA等算法硬件处理引擎,它既是密钥生成器,又是密钥管理器件。TPM通过提供密钥管理和配置管理等特性,与配套的应用软件一起,主要用于完成计算平台的可靠性认证、防止未经授权的软件修改、用户身份认证、数字签名以及全面加密硬盘和可擦写等功能。TPM安装在输入/输出控制器,即连接外部设备与内存的总线中,让TPM可以监视每一个从外存装载入内存的软件。由于TPM处于硬件层,所以只要用户选择了打开TCG功能,任何行为都无法逃避监视。

通过TPM安全芯片对计算机系统提供保护的方法为:(1)在主板上设置TPM安全芯片;(2)启动信息处理设备时,由TPM芯片验证当前底层固件的完整性,如正确则完成正常的系统初始化后执行步骤(3),否则停止启动该信息处理设备;(3)由底层固件验证当前操作系统的完整性,如正确则正常运行操作系统,否则停止装入操作系统。总之,此方法是通过在信息处理设备的启动过程中对BIOS、底层固件、操作系统依次进行完整性验证,从而保证信息处理设备的安全启动之后,再利用TPM芯片内置的加密模块生成并管理系统中各种密钥,对应用模块进行加解密,以保证计算机等信息设备中应用模块的安全。
图2中,信息处理设备的CPU 与主板上的北桥相连,北桥与南桥和静态存储器(SRAM)分别直接相连[2],南桥分别与超级输入输出接口(SuperIO)、BIOS 模块和安全芯片通过LPC(Low Pin Count Bus)总线直接相连,同时,计算机主板上的CPU 通过读写控制线与安全芯片中的BIOS模块直接相连。安全芯片通过完整性校验检验主板上的BIOS模块是否被非法修改。上述方法能够对BIOS的完整性进行验证,但它仅仅避免了BIOS中的病毒对操作系统的破坏,安全芯片并不能防止BIOS本身被修改,只能在发现BIOS被修改后,停止启动计算机,因而该方法只是被动应对可能的攻击。

 

作者:furious
链接:https://www.zhihu.com/question/35496371/answer/856294314
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
 

  • 传统的系统中,密钥和授权信息等安全信息只能存储在磁盘中,这样非常不安全。而在带TPM安全芯片的系统中,一些关键的key是存在TPM芯片内部,这时攻击者只有攻破TPM才有可能攻破系统的防护,攻克一块芯片比一块硬盘成本和难度可大得多。TPM成为系统可信的最低层次,它提供了整个系统可信的基础。
  • TPM主要目的是用来加解密数据(seal/unseal),这些经TPM加密的数据只有这块TPM芯片才能解密,从而达到了数据与此TPM芯片绑定来保护数据的目的。离了加密的这块TPM芯片这份资料是无法解密的。
  • 但是通常TPM芯片是一个很低速的芯片,所以不会用来加解密大量的数据。通常只是用来加解密少量数据(比如其他软件层加解密算法的key,可以统称这些key经TPM加密保护的数据为TPM密钥)。例如整个硬盘数据加密,并不是直接用TPM加密,而是用一个key去软件加密,而这个key是用TPM再加密保护起来(如前所述,加密后称之为一个TPM密钥)。如果要解密硬盘数据,只能先把该TPM密钥用这个TPM芯片解密得到初始的key,才能解密硬盘数据。如此即使别人偷了硬盘也没用,甚至别人的TPM owner密码一样也是解不出来的。
  • TPM功能的核心是签注密钥( endorsement key),这是在生产过程中内置到TPM硬件的加密密钥,每个TPM是唯一的。这个签注密钥的私钥部分绝不会出现在TPM外部或暴露给其他组件、软件、程序或个人。它是TPM的基础,也可以认为是数据与此TPM芯片绑定的原因。
  • TPM有密码和ownership的概念,take ownership的时候你会设置一个密码,之后就是这块TPM的owner,只有知道这块密码才能用它做一系列的操作,如前面提到的加解密。你可以clear ownership,clear之后别人才可以take ownership,但是在这之前这块TPM只属于你(的密码)。
fgupupup
关注
专栏目录
嵌入式linux保护与安全保护芯片TPM
gqd0757的博客
07-03 323
TPM 芯片可以提供安全的存储功能,可以将加密密钥、数字证书等敏感数据存储在 TPM 芯片中,防止未经授权的访问和泄霩。通过合理配置和使用 TPM 芯片,可以在嵌入式 Linux 系统中提高系统的安全保护水平,防止恶意攻击、数据泄露等安全问题。例如,可以通过 TPM 芯片来保存用户的生物特征信息或密码,并使用 TPM 认证用户身份,确保只有授权用户可以访问系统。在嵌入式 Linux 系统中,可以利用 TPM 芯片生成安全的随机数,增强系统的安全性。
TPM安全芯片
青澜饮舟的博客
08-03 1528
TPM安全芯片
Insyde展示新一代TPM1.2安全芯片增强了PC系统安全保障
11-26
兆日技术(Sinosun)携手全球知名系统固件(BIOS)厂商系微(Insyde)日前在IDF上展示了其最新一代TPM 1.2安全芯片在UEFI2.0环境下的实际运行,得到了包括Intel在内的众多业内厂商和用户的高度认可。    InsydeH2O是系微公司依据目前BIOS新标准架构UEFI2.0,为取代传统BIOS而研发的新一代PC BIOS,其对TPM安全功能的支持和验证,将为TPM安全芯片在UEFI2.0结构上发挥强大的安全性能提供有力的保障。而TPM 1.2安全芯片作为目前业界的最新标准,则为计算终端提供了唯一的身份识别,增强了其安全性能,更好地起到了保护信息的作用。       
TPM 介绍
china_seaman的博客
08-08 4662
TPM模块:英文全称:Trusted Platform Module(可信平台模块) 其是一种安装在计算机内部的芯片。 该芯片是一种植于计算机内部为计算机提供可信根的芯片。 该芯片的规格由可信计算组(Trusted Computing Group)来制定...
设备管理和TPM概述.pptx
10-08
设备管理和TPM(Total Productive Maintenance,全面生产维护)是企业提升效率和降低成本的关键领域。设备管理涉及设备的整个生命周期,从规划、设计到报废,包括选购、运输、安装、使用、保养、维修、改造和更换等...
TPM-Overview.pdf
07-21
TPM概述与企业应用》 可信平台模块(Trusted Platform Module,简称TPM)是信息安全领域中的一个重要组件,由可信计算组(Trusted Computing Group,TCG)制定并推广的一套开放行业标准。该组织汇聚了超过140家...
PC_Client_TPM_PP_1.3_for_TPM_1.2_Level_2_V116.pdf
最新发布
07-21
1. TPM概述:介绍TPM的基本概念、功能和在PC客户端中的作用。TPM的主要任务是提供硬件级的加密,保护密钥的安全,并且通过启动过程的验证确保系统的初始状态没有被篡改。 2. TPM 1.2规范:详细说明了TPM 1.2版的...
TCG PC Client Specific TPM Interface Specification(TIS)
06-27
TPM概述与特性支持 - **TPM支持特性**:该规格书定义了TPM在PC客户端中应支持的一系列关键功能。 - **特性列表**: - **Locality**:定义了TPM设备与其所保护的平台之间的物理关系。 - **Resetable PCRs**:提供...
TPM生产维护推行与务实概述.doc
09-21
TPM(Total Productive Maintenance)是一种全员参与的生产维护管理模式,源自日本,旨在通过预防性维护和持续改进,实现设备的高效运行,提高整体生产效率,降低损失,并最终达成零故障、零不良、零事故的目标。TPM...
可信平台模块(TPM)的总结
03-26
该文档是对可信计算TPM(可信平台模块)的总结,TPM是一种计算机芯片,本文以框架图的形式介绍了TPM的组成部分。
揭秘TPM安全芯片技术及加密应用
weixin_33835103的博客
09-13 255
揭秘TPM安全芯片技术及加密应用首发:http://safe.it168.com/a2012/0912/1396/000001396884.shtml从2003年开始,重要数据丢失已经成为严重的信息安全问题。尽管企业、机构和个人均不同程度地部署了保密措施,但泄密案例还是出不穷。从近年来国内外公开发布的失泄密案件资料中,我们选择了以下几个经典案例。  2010年阿桑奇和他的“维基解密”几乎成为所有...
TPM — 系统安全的基石
DingdaoOS的博客
05-11 2326
TPM 英文全称为 Trusted Platform Module,中文译为可信赖平台模块,也可译为受信任平台模块。
TPM分析笔记(十三)TPM 授权和会话
ZP1015
10-24 1417
HMAC授权仅仅使用授权值或者口令,然而Policy授权在此基础上做了增强,它可以根据TPM命令的顺序,TPM状态,以及外部设备如指纹读卡器,视网膜扫描器,和智能卡等信息来做授权。最好的理解会话的方法就是看看会话是怎么用的。会话被用于授权操作,并且单次命令的操作如加密,解密,审计等等都是在一个会话中完成的。在TPM设备中有一个单一的,永远可用的口令会话用于授权一个单独的TPM命令,会话不会保存两次命令之间的任何状态。HMAC会话会维护会话生命周期内的状态,因此会话可以用于针对TPM实体的多个动作。
IBM T400安全芯片(tpm)windows sp3安装解决方案
weixin_33970449的博客
07-05 269
昨天点AMT发现TPM未发现,点设备管理器发现有一个未安装的设备驱动,想到应该就是TPM,上网找驱动安装出现“安装程序无法创建一个或多个保存文件快捷方式,程序将要退出”的错误,因为我下载的TPM驱动是SP2的而我装的SP3可能不兼容吧,不爽,于是上网去谷歌了一下查找解决办法是手动搜索TPM驱动,将其指向C:\DRIVERS\WIN\TPM\TPM\tpm.inf。发现安装TP...
TPM 2.0规范解读系列——Part 1体系结构第(六)读:TPM控制域
weixin_49274884的博客
06-22 1752
本文介绍实体的控件和控制域,实体通过控件可以实现一些普通用户无权进行的操作。
TPM 1.4架构概述:TCG规范与免责声明
该架构概述文档详细阐述了Trusted Platform Module (TPM) 技术的相关概念和标准,TPM是确保计算机系统安全性的关键组件,它提供了平台固件级别的安全功能,如数据加密、身份验证和完整性检查等。TPM的设计目标是为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值