TPM密钥(可迁移 不可迁移)

最新推荐文章于 2023-02-20 19:55:56 发布
最新推荐文章于 2023-02-20 19:55:56 发布
阅读量1.8k 收藏 4
点赞数 1
分类专栏: 可信计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43651292/article/details/119722423
版权

在这里插入图片描述

  1. Storage Keys:存储密钥,用来加密数据和其它密钥的通用非对称密钥,这里的其它密钥可以是另外一个存储密钥,也可以是绑定密钥或签名密钥。它本身是长度2048bit的RSA私钥;它既可以是可迁移密钥,也可以是不可迁移密钥。

  2. SRK:storage Root Key,存储根密钥,是存储密钥的一个特例。整个系统拥有一个最高权限的存储密钥,这个最高级密钥也就是存储根密钥。它很特殊,在每个用户创建的时候生成,管理这个用户的所有数据,也就是存储可信根(Root of Trust for Storage, RTS).和签署密钥(Endorsement Key,EK)一样,一个TPM仅存在唯一一个。所有其它的密钥都在存储根密钥的保护之下。

  3. 签名密钥(Signing Key):是非对称密钥,用于对应用数据和信息签名。签名密钥可以是可迁移或不可迁移的。可迁移密钥能够在TPM之间传递,通过迁移密钥传递保密数据。TPM中的签名密钥都遵循RSA签名密钥的标准,它们有若干种不同长度。TPM能够正确地进行处理的最大密钥长度是2048bit。

  4. 签署密钥,或背书密钥(Endorsement Key,EK)是一个TPM平台的不可迁移的解密密钥,它是一个2048bit的RSA密钥对。它生成于平台的生产过程中,代表着每个平台的真实身份,每个平台都拥有唯一的一个。在确定平台所有者时,用于解密所有者的授权数据,还有解密与生成AIK相关的数据。签署密钥从不用作数据加密和签名。签署密钥的主要功能是生成身份证明密钥(AIK)和建立TPM平台的所有者,由TPM的所有者来生成存储根密钥SRK,使用SRK来加密、存储其他的密钥。
    EK可以通过密钥生成服务器,采用两种方法来产生:一种使用TPM命令,TCG规范定义了一组背书密钥操作命令,其中创建背书密钥对的命令为TPM_CreateEndorsementKeyPair,产生密钥长度要求至少2048位。另外一种方法是密钥注入技术,在信任制造商的前提下,由TPM制造商产生背书密钥对,然后采用人工方式注入,注入方法有:键盘输入、软盘输入、专用密钥抢输入等。
    对比这两种方法,前者必须依赖硬件中提供受保护的功能和被隔离的位置,从而保证在设备内部产生密钥对,而且密钥对是在篡改保护的环境下产生,能够很好地减少密钥对泄露的风险。

  5. AIK:认证身份密钥,或平台身份认证密钥(Attestation Identity Key)是不可迁移密钥。专用于对TPM产生的数据(如TPM功能、PCR寄存器的值等)进行签名,用来证明平台的身份和平台的环境配置,凡是经过AIK签名的实体,都表明已经经过TPM的处理。每个用户可以拥有多个AIK,每个AIK的生成都需要可信第三方的支持。

  6. 绑定密钥(Binding Keys):用于在一个平台中加密小规模数据(如对称密钥),然后在另一个TPM平台上进行解密。由于使用平台所特有的密钥加密,所以与该平台绑定。这个密钥的用法同传统非对称密钥加密相同。

  7. 密封密钥(Sealing Keys):内置TPM的计算机可以创建一个密钥,该密钥不仅被绑定,而且还被连接到特定硬件或软件条件,这就是密封密钥。首次创建密封密钥时TPM将记录配置值和文件哈希的快照。仅在这些当前系统值与快照中的值想匹配时才能解封或释放密封密钥。

  8. 遗留密钥(legacy Keys):在TPM之外生成,它们被定义为可迁移的,在被用来签名或加密之后才能载入TPM。这些密钥用在一些需要在平台之间传递数据的场合。

  9. 鉴别密钥(Authentication Keys):用来保护涉及TPM传输会话的对称密钥。

  10. Key Management:为了更有效地管理存储在TPM外边的密钥,引进一种密钥缓冲管理机制(Key Cache Manager),它主要管理TPM中受限制的资源,并且对应用程序调用隐藏这些限制。应用程序可以通过利用KCM来载入密钥到TPM中,并假定此密钥可以进一步利用。KCM负责保证当应用程序某个命令需要密钥时,这个已经被应用程序载入的密钥存在于TPM中。如果所有TPM资源被占用,KCM需要释放资源将不经常使用的密钥从TPM取出来,以便为那些经常进出TPM的密钥腾出空间,将需要的密钥放入TPM。应用程序需要利用KCM来将密钥载入TPM中。

  11. 可迁移密钥和不可迁移密钥:在整个TPM/TCM的密钥体系中,每个密钥在开始创建的时候都需要指定密钥属性。密钥按照属性不同分为:可迁移密钥(Migratable Key)和不可迁移密钥(Non-Migratable Key)。可迁移密钥并不局限于某个特定平台,可以由平台用户的控制在平台之间迁移。不可迁移密钥则永久地与某个指定平台关联。不可迁移密钥能够用来加密保护可迁移密钥,反之则不可。
    不可迁移密钥由TPM内部产生,在TPM产生之后就被打上了TPM的标记。不可迁移密钥本身的安全性要比可迁移密钥高,因为不可迁移密钥全部由TPM内部产生并且从产生到销毁整个周期私钥部分都不会离开TPM(除非不可迁移密钥转化为可迁移密钥,这个时候安全级别降低,注意的是由于可迁移密钥安全级别低所以无法转化为不可迁移密钥)。同时不可迁移密钥可以被TPM签名,从而可以向挑战者或者用户证明其不可迁移的属性,从而证明其安全性。

注意 在在TPM2库中, tpm2_create 创建密钥的默认属性为:
-a, --attributes=ATTRIBUTES:

The object attributes, optional. The default for created objects is:

TPMA_OBJECT_SIGN_ENCRYPT|TPMA_OBJECT_DECRYPT|TPMA_OBJECT_FIXEDTPM|
 TPMA_OBJECT_FIXEDPARENT|TPMA_OBJECT_SENSITIVEDATAORIGIN|
 TPMA_OBJECT_USERWITHAUTH

即为不可迁移密钥。

lsxkugou
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Duplication_Authority的TPM2.0密钥迁移协议.pdf
12-16
基于Duplication_Authority的TPM2.0密钥迁移协议.pdf
TPM工作原理
热门推荐
zhangnn5的专栏
10-09 2万+
TPM实际上是一个含有密码运算部件和存储部件的小型片上的系统,由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。 TPM(Trusted Platform Module)安全芯片,是指符合TPM(可信赖平台模块)标准的安全芯片,它能有效地保护
TPM2.0原理及应用指南】 1-3章
Godam
06-07 2724
可信平台模块(TPM)是一种加密协处理器。 可信计算组织(TCG) 直接匿名认证(DAA) 认证可迁移密钥(Certified Migratable Key,CMK) 隐私证书认证中心(CA) 平台配置寄存器(PCR)是TPM中的动态内存区,用来保持系统的引导序列度量结果的完整性。PCR可与身份密钥一起用于证明系统引导顺序是否正常。密码算法应该避免以下缺陷:消息:在双方间传送的字节序列 机密性:防止未授权方查看消息neir 共享秘密:双方都知道的一个值 完整性:消息在储存及传输的过程中......
TPM Key相关概念
weixin_33829657的博客
04-16 1353
1. Storage Keys:存储密钥,用来加密数据和其它密钥的通用非对称密钥,这里的其它密钥可以是另外一个存储密钥,也可以是绑定密钥或签名密钥。它本身是长度2048bit的RSA私钥;它既可以是可迁移密钥,也可以是不可迁移密钥。 2. SRK:storage Root Key,存储根密钥,是存储密钥的一个特例。整个系统拥有一个最高权限的存储密钥,这个最高级密钥也就是存储根密钥。它很特殊,在每...
TPM2.0原理及应用指南】 9、10、11章
Godam
06-09 1263
NV索引属于一个hierarchy,但不在树中。 每个hierarchy的密码根是一个种子,一个大的随机数,TPM产生,永远不可能泄露。TPM 1.2 中SRK(存储根密钥)是随机产生的,一旦被删除就不能再次生成同样的SRK。YPM 2.0 中扩展出了三个持久性hierarchy(平台、存储、背书),这三个hierarchy有如下相同特征TPM 2.0中添加了更多灵活性:三种hierarchy这里的隐私意味着接收到TPM数字签名的远程方,不能将数字签名相关联,并从密码学上证明其来自于同一个TPM。关联就是要
TPM密钥管理、使用
02-20 1535
--- 前面讲过证书相关内容,除了在软件方面有所应用外,在硬件方面也有很多应用。本次讲一下TPM相关的内容。
TPM分析笔记(十)TPM 组织架构(TPM hierarchy)
ZP1015
08-13 2260
上文阐述一个TPM2.0资源实体是TPM内部可以通过handle直接引用。 本质上TPM组织架构也是由一组相关的资源实体构成,它们被作为一个组来管理。这些实体包括永久对象(组织架构的handle),它将被作为一个树根节点的主要对象,树节点还有其它对象,如密钥。另外NV索引隶属于一个组织架构,但是它不在树型组织中。除去永久性实体,==其他实体可以作为一个组被整体删除==。 每个hierarchy的==密码学根节点==是一个==种子==,这个种子是由TPM生成的一个很长的随机数(如果是非对称密钥,由TPM
TPM分析笔记(五)TPM Architecture规范之TPM架构(第11章)
ZP1015
03-20 2791
目录一、TPM组成结构二、TPM内部功能和特性1、密码学加速器引擎(非对称、对称、哈希)2、密钥生成(Key Gen)3、随机数生成器4、程序代码(管理模块、执行引擎模块、授权模块)5、非易失性存储(Non-Volatile Memory)6、易失性存储(Volatile Memory)PCR(平台配置寄存器)7、电源管理8、输入输出I/O - 字节流通信 一、TPM组成结构 TPM 组成的功能单元如图所示: 主要组成结构: 1、密码学加速器引擎(非对称、对称、哈希) 2、密钥生成(Key Gen) 3、
TPM 2.0规范解读系列——Part 1体系结构第(一)读:几个概念
weixin_49274884的博客
05-25 2272
TPM规范中几个重要的基本概念。
TPM 2.0规范系列解读——Part 1体系结构第(五)读:TPM运行状态
weixin_49274884的博客
06-20 1755
本篇主要基于TPM 2.0规范Part 1的第12章(TPM Operational States)的内容,对TPM的运行状态定义进行解读。
tpm源码 IBM TPM 1682
03-15
tpm源码 IBM TPM 1682 ,可以在VS中编译 ,linux中编码
论文研究-基于双线性映射的TPM密钥授权数据派生方案.pdf
07-22
针对TCG规范中复杂的密钥授权数据管理问题,提出了一种新的基于派生机制的授权数据管理方案。该方案将TCG中层次化的密钥树进行虚拟的密钥链划分,为每一个外部实体随机产生唯一的授权参数,并基于双线性映射和RSA...
tpm.rar_tpm
09-20
Chip num is this value or a valid tpm idx.
电信塔施工方案.doc
04-27
5G通信行业、网络优化、通信工程建设资料。
29-【智慧城市与政府治理分会场】10亿大数据助推都市治理-30页.pdf
04-27
29-【智慧城市与政府治理分会场】10亿大数据助推都市治理-30页.pdf
ABB IRC5 Compact 机器人产品手册
最新发布
04-27
ABB IRC5 Compact 机器人产品手册
LTE容量优化高负荷小区优化指导书.docx
04-27
5G通信行业、网络优化、通信工程建设资料
施工工艺及质量检查记录表.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
TPM密钥体系结构中包含哪些秘钥?
05-31
TPM(Trusted Platform Module,可信平台模块)是一种常见的可信计算技术,其中包含多种密钥用于安全操作。TPM密钥体系结构包括以下几种秘钥: 1. SRK(Storage Root Key) SRK是TPM中的根密钥,用于保护其他密钥。SRK是由TPM制造商预装的,不能更改。SRK是一个非对称密钥,由公钥和私钥组成,其中私钥存储在TPM内部,公钥可以公开发布。 2. AIK(Attestation Identity Key) AIK是用于身份验证的密钥,它是由TPM生成的一个非对称密钥对。AIK的公钥可以向其他人公开,用于验证TPM的身份。AIK的私钥只能存储在TPM内部,不能导出。 3. EK(Endorsement Key) EK是由TPM制造商预装的,用于标识TPM的身份的密钥。EK是一个非对称密钥,由公钥和私钥组成,其中私钥存储在TPM内部,公钥可以公开发布。 4. 密钥包(Key Bundle) 密钥包是一组密钥,用于加密和保护数据。密钥包包括对称密钥和非对称密钥,它们可以用于加密和解密数据、签名和验证数据等。 总之,TPM密钥体系结构包括多种密钥,用于保护计算机系统和数据的安全性。这些密钥包括SRK、AIK、EK和密钥包等,它们可以用于加密、解密、签名和验证数据等安全操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值