TPM2 工作原理及操作 --数据封装(三):使用策略密封数据

最新推荐文章于 2023-03-08 08:42:59 发布
最新推荐文章于 2023-03-08 08:42:59 发布
阅读量831 收藏 3
点赞数
分类专栏: 可信计算 TPM2 文章标签: 可信计算 TPM2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanyufei19950709/article/details/125940527
版权

目录

前言

 使用策略密封数据

使用tpm2_policypassword密码策略密封数据

使用tpm2_policysecret 策略密封数据

使用tpm2_createpolicy 基于pcr创建简单的授权策略密封数据

前言

以下部分内容来自我对tpm2-tools API文档、《A Practical Guide to TPM 2.0》的翻译和理解

关于TPM2基本原理、特性、密钥、层次、PCR等内容,TPM-JS这个项目有较详细的说明: 

TPM-JShttps://google.github.io/tpm-js/#pg_welcome想自学以及更深入了解的同学可以参考tpm2-tools doc :Home - tpm2-tools

TPM 的外部编程接口规范: https ://trustedcomputinggroup.org/tpm-library-specification/

TPM2.0实用指南 《A Practical Guide to TPM 2.0》:

​​​​​​https://link.springer.com/content/pdf/10.1007/978-1-4302-6584-9.pdf

 使用策略密封数据

了解完前面的授权和会话,现在再了解通过策略启动授权和会话来密封数据。

基于策略的会话授权也是可以密封数据,具体命令工具包含tpm2_policypassword、tpm2_policysecret 、tpm2_createpolicy、tpm2_policypcr、tpm2_policysigned、tpm2_ticket等。

使用tpm2_policypassword密码策略密封数据

在此使用密码和tpm2_policypassword密码策略密封数据,使用 TPM 对象明文身份验证值进行身份验证解封数据。

具体TPM命令流程如下:

1.创建密码策略

tpm2_startauthsession -S session.dat

tpm2_policypassword -S session.dat -L policy.dat

tpm2_flushcontext session.dat

2.使用密码和密码策略创建对象

tpm2_createprimary -C o -c prim.ctx

tpm2_create -g sha256 -G aes -u key.pub -r key.priv -C prim.ctx -L policy.dat -p testpswd

3.使用明文密码输入进行身份验证

tpm2_load -C prim.ctx -u key.pub -r key.priv -n key.name -c key.ctx

echo "plaintext" > plain.txt

echo "secret iv file." >iv.ctx

tpm2_encryptdecrypt -c key.ctx -o encrypt.out -p testpswd plain.txt -t iv.ctx

tpm2_flushcontext session.dat

4.使用密码和策略进行身份验证

tpm2_startauthsession --policy-session -S session.dat

tpm2_policypassword -S session.dat -L policy.dat

tpm2_encryptdecrypt -d -c key.ctx -o decrypt.out encrypt.out -p session:session.dat+testpswd -t iv.ctx

tpm2_flushcontext session.dat

使用tpm2_policysecret 策略密封数据

tpm2_policysecret将密封对象的 auth 值与所有者层次结构密码相关联。步骤如下:

1、启动试用身份验证会话并运行tpm2_policysecret 以创建仅在提供所有者层次结构身份验证值时才能满足的策略。

2、启动一个真正的策略会话并提供所有者层次结构身份验证值。

3、 向unseal工具提供满足所有者层次结构身份验证的 policysecret 中的会话输入。

4、 如果策略得到满足,解封应该成功。

具体TPM命令流程如下:

1、生成绑定到所有者层次结构秘密的策略

tpm2_startauthsession -S session.ctx

tpm2_policysecret -S session.ctx -c o -L secret.policy

tpm2_flushcontext session.ctx

2、使用策略创建 TPM 对象

tpm2_createprimary -Q -C o -g sha256 -G rsa -c prim.ctx

tpm2_create -Q -g sha256 -u sealing_key.pub -r sealing_key.priv -i- \

  -C prim.ctx -L secret.policy <<< "SEALED-SECRET"

tpm2_load -C prim.ctx -u sealing_key.pub -r sealing_key.priv \

  -c sealing_key.ctx

3、满足策略并解封秘密

tpm2_startauthsession --policy-session -S session.ctx

tpm2_policysecret -S session.ctx -c o -L secret.policy

tpm2_unseal -p "session:session.ctx" -c sealing_key.ctx

输出:SEALED-SECRET

tpm2_flushcontext session.ctx

使用tpm2_createpolicy 基于pcr创建简单的授权策略密封数据

tpm2_createpolicy (1) - 基于多个启用的PCR banks的多个 PCR 索引值创建简单的断言授权策略。

具体TPM命令流程如下:

tpm2_createprimary -c primary.ctx -Q

tpm2_pcrread -Q -o pcr.bin sha256:0,1,2,3

tpm2_createpolicy -Q --policy-pcr -l sha256:0,1,2,3 -f pcr.bin -L pcr.policy

echo 'secret' | tpm2_create -C primary.ctx -L pcr.policy -i-\

-u seal.pub -r seal.priv -c seal.ctx -Q

tpm2_unseal -c seal.ctx -p pcr:sha256:0,1,2,3

 

大大大飞啊
关注
专栏目录
TPM知识点集锦
phmatthaus的专栏
01-07 819
TPM知识点集锦
TPM之VMK密封
最新发布
柳似烟的专栏
05-27 666
同样的,具备TPM芯片的电脑,在系统中存在一个\Device\TPM的设备以及对应的TPM驱动程序,所以,当对系统进行基于TPM芯片的Bitlocker加密时,存在DeviceIOControl的交互,下面通过抓包来窥探这一过程。同样,基于TPM的安全启动链也不做过多解释,简单说就是当电脑通过TPM进行全盘加密后,后期对电脑的改动影响系统启动,PCR校验不通过时,触发输入恢复密钥的“蓝屏”。通过分析保存的json格式的文件,追踪文件句柄,得到TPM加密时的所有与驱动层的交互数据。PCR校验位图解释如下。
TPM2 工作原理操作 --- 数据封装(二)
大大飞的博客
07-22 1386
TPM2 工作原理操作 --- 数据封装(二) :nv索引
关于tpm2-tss协议栈make check中test/integration全部失败
jianming21的博客
08-13 1195
文章目录问题:问题环境原因解决方法 问题: tpm2-tss安装中执行make check时fail: /test/integration 现象 PASS: test/unit/esys-getpollhandles PASS: test/unit/esys-nulltcti PASS: test/unit/esys-crypto FAIL: test/integration/sapi-asymmetric-encrypt-decrypt.int FAIL: test/integration/sapi-
TPM2 工作原理操作 -- 授权和会话(一)
大大飞的博客
07-22 841
TPM2 工作原理操作 -- 授权和会话(一)
TCGA-BLCA-mRNA表达数据(TPM)-膀胱癌表达及临床数据集整理
01-18
标题中的“TCGA-BLCA-mRNA表达数据(TPM)-膀胱癌表达及临床数据集整理”指的是The Cancer Genome Atlas (TCGA)项目中关于膀胱癌(BLCA)的数据,具体聚焦于mRNA转录水平的表达数据,以Transcripts Per Million (TPM...
tpm-i2c-atmel:用于 Atmel 的 AT97SC3204T I2C TPM(用于 Beaglebone)的 Linux 内核驱动程序
06-26
ATMEL 的 AT97SC3204T I2C TPM 注意:现在主线 Linux 中存在支持。... 插入对 TPM 的支持: [tpm-i2c-atmel] $ bash ./patch_kernel.sh /kernel/source这会将源[tpm-i2c-atmel] $ bash ./patch_kernel.
windows-tpm-1.2-wdf-driver:tpm wdf驱动程序样本
05-24
本篇将围绕"windows-tpm-1.2-wdf-driver"这一驱动程序样本,深入探讨如何利用WDF框架来构建TPM 1.2驱动。 1. TPM 1.2概述 TPM 1.2是一种硬件安全模块,其核心功能包括密钥管理、数字签名、安全存储和平台完整性...
tpm2-abrmd:实施TCG规范的TPM2 Access Broker和资源管理守护程序
05-18
守护程序(tpm2-abrmd)是使用Glib和GObject系统实现的。 在本文档和代码中,我们可互换使用tpm2-abrmd和tabrmd 。 编译安装 文件中提供了构建和安装此软件的说明。 tpm2-abrmd tpm2-abrmd是守护程序。 它应该在...
TCGA-READ-mRNA表达数据(TPM)-直肠癌表达及临床数据集整理
01-18
"TCGA-READ-mRNA表达数据(TPM)"是指TCGA对直肠腺癌(READ)患者mRNA转录水平的定量测量,使用了Transcripts Per Million (TPM)作为衡量标准。 TPM是一种标准化的量度方法,用于在不同样本间比较转录本丰度,它...
TPM2 工作原理操作 -- 授权和会话(四):种授权
大大飞的博客
07-23 1917
TPM2 工作原理操作 -- 授权和会话(四):种授权
TPM2 工作原理操作 --- 数据封装(一)
大大飞的博客
07-22 1484
TPM2 工作原理操作 --- 数据封装(一)
tpm2-tools相关实验
jianming21的博客
08-14 3954
文章目录系统背景实验一:利用hash 函数生产文件度量值实验二 利用tpm实现对文件的加解密实验:利用TPM实现对文件进行签名,实现对文件完整性认证。 系统背景 操作系统:Ubuntu 18.04.4 LTS tpm模拟器:ibmtpm 1332 tpm协议栈中:tpm2-tss 2.1.0 tpm守护进程:tpm2-abrmd 2.0.2 tpm2 tools 3.x 实验一:利用hash 函数生产文件度量值 利用tpm2-tools命令,对数据文件生成hash值并修改文件进行对比。 tpm2_
tpm2_create key的default attributes
weixin_43651292的博客
08-17 258
在 tpm2-tss-2.4.6\include\tss2\tss2_tpm2_types.h中记录 #define TPMA_OBJECT_RESERVED1_MASK ((TPMA_OBJECT) 0x00000001) /* shall be zero */ #define TPMA_OBJECT_FIXEDTPM ((TPMA_OBJECT) 0x00000002) /* SET 1 The hierarchy of the object as indicated
TPM 2.0规范解读系列——Part 1体系结构第(七)读:主种子
weixin_49274884的博客
06-22 1460
本文介绍了主种子(Primary Seeds),Primary Seed是一个大的随机值,它长期存储在TPM中;永远不会以任何形式存储在TPM之外; 主种子用于生成对称密钥、非对称密钥、其他种子和证明值。每种不同的层级结构对应一个主种子,分别是EPS、PPS和SPS;最后介绍了层级结构证明(Hierarchy Proofs)。...
TPM2.0软件栈
阿群的笔记(同步备份自简书)
04-24 2789
本文更新于2018-08-11 编译tss wget https://github.com/tpm2-software/tpm2-tss/releases/download/1.4.0/tpm2-tss-1.4.0.tar.gz tar xzf tpm2-tss-1.4.0.tar.gz cd tpm2-tss-1.4.0 ./configure --d...
command-codes
liudong200618的博客
03-08 146
此命令用于在主种子之一下创建主对象或在 TPM_RH_NULL 下创建临时对象。该命令使用 TPM2B_PUBLIC 作为要创建的对象的模板。不应检查唯一字段的大小是否与其他对象参数一致。该命令将创建并加载一个主对象。不返回敏感区域。注 1 由于未返回敏感数据,因此无法重新加载密钥。它既可以持久化,也可以重新创建。注 2 为了互操作性,唯一字段不应设置为大于对象参数所允许的值,以便解组不会失败。注 3 空缓冲区是合法的唯一字段值。
TPM分析笔记(十二)TPM PCR操作
ZP1015
10-22 5450
PCR有两个最基本的应用。它们的值可以通过一个签名的认证引用被报告出去,这样允许一个依赖方决定平台的软件状态是否可信。它们还可以用于policy,基于PCR的值来授权其他TPM对象的使用。相对于TPM1.2PCR的算法被固定成SHA-1,TPM2.0做了改进,允许使用其他的哈希算法。TPM 2.0规范解读系列——Part 1体系结构第(九)读:PCR状态。
How to use TPM2 tool in Linux
天九歌
12-15 9773
Is Trusted Platform Module (TPM) supported by Red Hat?  SOLUTION UNVERIFIED - Updated 2017年9月1日 -  English  Environment Red Hat Enterprise Linux Issue What is the current status of R
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大大大飞啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值