TPM功能介绍.pdf

TPM 功能简介 1 TPM 架构 TPM 架构：非易失性存储（Non-Volatile Storage ）；平台配置寄存器PCR ；身份 认证密钥（Attes. Id. K.) ；程序代码（Program Code ）；随机数生成器RNG ；SHA-1 引 擎；密钥生成（Key Gen. ）；可选状态配置(Opt-in) ；执行引擎（Exec engine ）；输入 输出I/O 。 2 安全度量和报告 因系统而异，平台的运行状态主要包括内核镜像、进程信息列表、应用的二进制可执 行程序。且因TPM 存储空间有限，不可能存放与运行状态相关的完整信息，而只能存储 其摘要。平台状态寄存器 （PCR ）是用来记录系统运行状态的寄存器，TCG 规范要求实现 的一组寄存器，至少有16 个（TCG 1.1 规范），TCG 1.2 规范中引进了8 个额外的平台状 态寄存器用于实现动态可信度量，平台状态信息的 SHA-1 散列值存储在平台状态寄存器 中，平台状态寄存器就能够代表机器的运行状态。 2.1 PCR 的安全访问 为了防止PCR 值被恶意代码随便篡改或伪造，TPM 限制对平台状态寄存器的操作，不 能像普通字符设备的寄存器那样通过端口映射来随意进行读写操作，平台状态寄存器位于 TPM 内部，其内部数据受到TPM 的保护。对PCR 内容的读取是不受限制的，TPM 只允许 两种操作来修改PCR 的值：重置操作（Reset ）和扩展操作（Extend ），重置操作发生在机器 断电或者重新启动之后，PCR 的值自动重新清零（TCG 1.2 新引入的寄存器除外）。 系统运行过程中，只能通过扩展操作来改变 PCR 的内容，扩展操作：PCR[n] = SHA- 1{PCR[n-1] || newMeasurement}。扩展操作是不可逆的，即先扩展度量值A 再扩展度量值B 所得到的PCR 值跟先扩展B 再扩展A 的结果是不同的。通过扩展，PCR 能够记录一个无限 长的度量值序列，这一系列度量值组成的序列反应了系统状态的变迁 ，这个扩展序列中的 某一个度量值被改变了，之后的度量序列都会受到影响。平台状态信息可以日志的形式放置 在TPM 外部的度量日志文件中。PCR 中通过扩展来记录度量日志信息的摘要，以供以后对 度量日志进行验证。虽然理论上来说，一个PCR 维护的度量序列就能够记录整个平台的状 态值，但PCR 并不只用于校验度量日志，因此在启动过程中用到了多个PCR 。 2.2 信任链产生与完整性度量 恶意代码能够在这个启动序列中的某一个环节上截取控制权，那么它就能够任意篡改和 控制之后的启动序列。必须有一种强有力的信任机制来评估系统启动过程是否已经被攻击者 所篡改，TPM 硬件提供的完整性度量机制能够为启动过程提供可信评估，让机器使用者能 够在系统被篡改后能够对此作出正确判断。 信任传递机制：在信任当前某一环节的前提下，由该环节去评估下一个环节的安全性， 确定下一环节可信之后再将控制权转交给下一环节，然后依次向后推进。整个启动序列中都 遵循“先度量，再执行”的原则，当前阶段的代码负责度量下一阶段即将要执行的代码，然后 再将度量值扩展到PCR 寄存器中，这样循环往复，这就构成了信任链。 源头（BIOS 启动模块）在启动过程中是没有受到度量，即存在一个假设—这个源头是 安全可信的。大多数PC 系统使用的是可刷写的BIOS 固件，这就使得攻击者有可能通过修 改BIOS 从而摧毁信任根。符合TCG 规范的系统必须拥有不可更改的BIOS 代码，这段代 码可以是一段短小的固化BIOS 代码，它来度量其余的大段BIOS ，但是最初执行的代码必 须是固化不可修改的。 各阶段代码的详细配置信息和对PCR 值扩展的操作的历史记录是保存在度量日志中的， 度量日志存储在磁盘上，而磁盘属于不可信的外存，因此度量日志是可能被攻击者篡改的。 对保存在磁盘上的度量日志并不需要进行额外的保护，攻击者即使篡改了度量日志，但由于 PCR 中记录的度量值是不可伪造的，用户对度量日志进行摘要就会发现与度量值不匹配。 基于TPM 的可信启动并不能强制保证启动过程是可信的，而只是忠实的记录启动过程的完 整性状态，交由用户在启动完成之后做可信判断，TPM 本身并不能够控制CPU 的执行过程。 对启动过程完成了度量记录之后，就必须将记录的状态信息安全地报告给要做可信判断的挑 战者，以供进一步根据状态判