通過(guò)強(qiáng)大的數(shù)字身份建立信任

盡管設(shè)計(jì)了廣泛的軟件方法來(lái)防止這些攻擊，但對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的攻擊仍在繼續(xù)激增。通過(guò)基于硬件的安全性為用戶和計(jì)算機(jī)系統(tǒng)建立強(qiáng)大的數(shù)字身份是超越純軟件策略的重要一步。為了向用戶提供提高安全性的工具，計(jì)算機(jī)行業(yè)已經(jīng)付出了相當(dāng)大的努力來(lái)實(shí)施稱為可信平臺(tái)模塊 （TPM） 的基于標(biāo)準(zhǔn)的硬件安全模塊。TPM 可以使網(wǎng)絡(luò)管理員采用更高級(jí)別的安全性，尤其是當(dāng)它在計(jì)算機(jī)中的存在變得無(wú)處不在時(shí)。

信任的根源

認(rèn)識(shí)到產(chǎn)品和服務(wù)需要更高的信任度，幾家公司成立了 TCG 來(lái)制定行業(yè)標(biāo)準(zhǔn)，以保護(hù)數(shù)據(jù)密碼、密鑰等信息資產(chǎn)免受外部軟件攻擊和物理盜竊。TCG 由 140 多家成員公司組成，涉及硬件、組件、軟件、服務(wù)、網(wǎng)絡(luò)和移動(dòng)電話。建立信任的基礎(chǔ)是 TPM 規(guī)范，該規(guī)范于 2000 年獲得批準(zhǔn)，隨后 TPM 發(fā)貨安裝在計(jì)算機(jī)中。

TPM 可用性不一定會(huì)導(dǎo)致其實(shí)施以提高安全性。Aberdeen Group 2008 年 2 月的一份報(bào)告發(fā)現(xiàn)，盡管當(dāng)今可用的可信計(jì)算就緒設(shè)備和基礎(chǔ)設(shè)施的比例很高，但企業(yè)對(duì)可信計(jì)算和 TPM 的認(rèn)識(shí)仍然相對(duì)較低。受訪者估計(jì)，超過(guò)一半的現(xiàn)有臺(tái)式機(jī)和筆記本電腦已經(jīng)支持可信計(jì)算，超過(guò)四分之三的現(xiàn)有網(wǎng)絡(luò)端點(diǎn)和策略執(zhí)行點(diǎn)可以支持可信計(jì)算。

該報(bào)告建議“為了實(shí)現(xiàn)一流的性能，公司應(yīng)提高對(duì)利用 TPM 的可信計(jì)算模型和安全解決方案的認(rèn)識(shí)，并確定利用其內(nèi)部已經(jīng)存在的可信計(jì)算就緒設(shè)備和基礎(chǔ)設(shè)施的應(yīng)用程序。企業(yè)?！?/p>

考慮到這一建議，以下討論變得更加相關(guān)。TCG 定義的可信計(jì)算的基礎(chǔ)是可以嵌入可信計(jì)算平臺(tái)的一個(gè)或多個(gè)安全設(shè)備的集合。信任的基礎(chǔ)或根是 TPM，通常是提供安全服務(wù)并安裝在主板上的微控制器單元 （MCU）。但是，TPM 也可以在另一個(gè) IC 中嵌入功能。TPM 為密鑰和證書提供受保護(hù)的存儲(chǔ)、明確的身份、不受外部干擾的操作的屏蔽位置以及報(bào)告其狀態(tài)的方法。難以進(jìn)行虛擬或物理攻擊，良好的 TPM 實(shí)施使用防篡改硬件來(lái)防止物理攻擊。

與其他專有硬件安全系統(tǒng)相比，TPM 是一種基于內(nèi)部固件的靈活、基于標(biāo)準(zhǔn)的交鑰匙解決方案，無(wú)需編程。該模塊具有來(lái)自可量化測(cè)量的第三方認(rèn)證的強(qiáng)大安全性（例如，Common Criteria EAL、3+、4+、5+）。

基本的 TPM 功能包括使用硬件隨機(jī)數(shù)生成器生成非對(duì)稱密鑰對(duì)、公鑰簽名和解密以安全地存儲(chǔ)數(shù)據(jù)和數(shù)字機(jī)密。哈希存儲(chǔ)、背書密鑰和初始化以及管理功能提供了進(jìn)一步的安全性和用戶功能。TPM 的最新版本，稱為 TCG 1.2 或 TPM 1.2 版，為 TPM 的功能添加了傳輸會(huì)話、實(shí)時(shí)時(shí)鐘、位置、保存和恢復(fù)上下文、直接匿名證明、易失性存儲(chǔ)和委派。

TPM 不控制事件；它只是觀察和跟蹤系統(tǒng)活動(dòng)，并在非系統(tǒng)總線上與系統(tǒng) CPU 通信。TPM 的密鑰和證書功能對(duì)于強(qiáng)大的識(shí)別至關(guān)重要。

向其他行業(yè)學(xué)習(xí)

對(duì)強(qiáng)身份的需求已在其他應(yīng)用程序中成功解決。例如，有線調(diào)制解調(diào)器行業(yè)通過(guò)強(qiáng)制要求符合 DOCSIS 1.2 規(guī)范的有線調(diào)制解調(diào)器必須由其制造商分配唯一的 RSA 密鑰對(duì)和 X.509 證書來(lái)解決非法有線調(diào)制解調(diào)器的問題。然后，有線調(diào)制解調(diào)器證書在與有線調(diào)制解調(diào)器終端系統(tǒng)或上游前端設(shè)備的身份驗(yàn)證握手中用作設(shè)備身份。

作為管理有線電視運(yùn)營(yíng)商的組織，總部位于科羅拉多州路易斯維爾的 CableLabs 建立了植根于 CableLabs 本身的證書層次結(jié)構(gòu)。每個(gè)電纜調(diào)制解調(diào)器制造商都從 CableLabs 獲得制造商證書頒發(fā)機(jī)構(gòu)，用于頒發(fā)（簽署）唯一的調(diào)制解調(diào)器證書。調(diào)制解調(diào)器密鑰對(duì)和證書被“刻錄”到調(diào)制解調(diào)器的硬件中。

以設(shè)備證書的形式使用強(qiáng)大的設(shè)備身份，使該行業(yè)能夠向零售市場(chǎng)銷售電纜調(diào)制解調(diào)器，從而允許個(gè)人消費(fèi)者購(gòu)買和擁有電纜調(diào)制解調(diào)器。這消除了有線運(yùn)營(yíng)商作為有線調(diào)制解調(diào)器產(chǎn)品分銷渠道的需要。作為這種方法成功的證明，IEEE 802.16 社區(qū)正在考慮為 WiMAX 無(wú)線寬帶采用電纜調(diào)制解調(diào)器身份驗(yàn)證協(xié)議。

TPM 功能

從網(wǎng)絡(luò)身份的角度來(lái)看，將 TPM 硬件集成到網(wǎng)絡(luò)設(shè)備中的好處最好通過(guò)了解 TPM 在密鑰和證書中的作用來(lái)體現(xiàn)。五個(gè)特定領(lǐng)域提供了對(duì) TPM 功能的更詳細(xì)說(shuō)明：加密功能、平臺(tái)配置寄存器、TPM 駐留密鑰、TPM 密鑰生命周期服務(wù)以及初始化和管理功能。

TPM 具有多個(gè)對(duì)稱和非對(duì)稱密鑰加密功能，包括片上密鑰對(duì)生成（使用硬件隨機(jī)數(shù)生成器）、公鑰加密、數(shù)字簽名和散列函數(shù)。TPM 1.2 版利用當(dāng)前的標(biāo)準(zhǔn)算法，包括 RSA、數(shù)據(jù)加密標(biāo)準(zhǔn) （DES）、三重 DES （3DES） 和安全散列算法 （SHA）。此外，目前正在努力將 Suite B 密碼套件包含在下一個(gè) TPM 規(guī)范修訂中。

平臺(tái)配置寄存器 （PCR） 通常用于存儲(chǔ)散列和擴(kuò)展值，其中新散列值與現(xiàn)有散列值組合（在 PCR 中），然后組合通過(guò) TPM 的散列函數(shù)。hash-and-extend 操作的結(jié)果放在同一個(gè) PCR 中。TPM 包括至少八個(gè)可用于存儲(chǔ)哈希值和其他數(shù)據(jù)的寄存器。

TPM 允許將某些加密密鑰定義為駐留 TPM。例如，如果特定密鑰對(duì)的私鑰操作始終在 TPM 內(nèi)執(zhí)行，則 RSA 密鑰對(duì)被認(rèn)為是 TPM 駐留的。

由于具有 TPM 的計(jì)算機(jī)平臺(tái)可能會(huì)遇到硬件故障和其他災(zāi)難，因此相關(guān)密鑰和證書的副本的安全和保密備份至關(guān)重要。作為 TPM 關(guān)鍵生命周期服務(wù)的一部分，TCG 制定了備份和恢復(fù)規(guī)范，可以在平臺(tái)出現(xiàn)故障或員工不可用的情況下確保業(yè)務(wù)連續(xù)性服務(wù)。TCG 為定義為可遷移的密鑰指定了密鑰遷移協(xié)議。遷移規(guī)范允許某些類型的密鑰和證書在適當(dāng)?shù)乃姓呤跈?quán)下從一個(gè)平臺(tái)轉(zhuǎn)移到另一個(gè)平臺(tái)，同時(shí)限制對(duì)原始 TPM 和目標(biāo) TPM 的訪問（無(wú)需人工訪問或遷移權(quán)限）。這些備份、恢復(fù)和遷移服務(wù)可以在有或沒有受信任的第三方托管服務(wù)的情況下運(yùn)行。

初始化和管理功能允許所有者打開和關(guān)閉功能、重置芯片，并通過(guò)強(qiáng)大的控制獲得所有權(quán)以保護(hù)隱私。系統(tǒng)所有者是受信任的并且必須選擇加入，而如果用戶與所有者不同，則可以根據(jù)需要選擇退出。

可用的 TPM

開發(fā)基于 MCU 的 TPM 的公司包括 Winbond Electronics、STMicroelectronics、Infineon Technologies 和 Atmel。如圖 1 所示，微控制器通常采用行業(yè)標(biāo)準(zhǔn)的 28 引腳薄型收縮小外形封裝 （TSSOP） 封裝。Atmel 開發(fā)了第一個(gè)符合 TCG 規(guī)范的 TPM，在其 TPM 中使用了 AVR 8 位 RISC CPU。圖 2（第 16 頁(yè)）顯示了集成在 TPM IC 中的常用組件的框圖。

另一個(gè)使用 8 位內(nèi)核的 TPM 是 STMicroelectronics 的 ST19WP18，它基于最初為智能卡和其他安全應(yīng)用開發(fā)的系列的 MCU。相比之下，英飛凌的 TPM v1.2 基于公司的 16 位安全控制器系列。

TPM 使用 Intel 和基于 AMD 的 PC 中的 Intel 定義的低引腳數(shù) （LPC） 總線。如圖 3 所示，LPC 總線將 TPM 連接到南橋（I/O 控制器集線器）；Super I/O 芯片控制串行和并行端口以及鍵盤和鼠標(biāo)。

雖然滿足 TCG 標(biāo)準(zhǔn)需要 TPM 中的某些功能，但經(jīng)常包含其他功能以區(qū)分一家公司的 TPM 與另一家公司。例如，圖 2 中的通用 I/O 引腳的數(shù)量可能是五個(gè)或六個(gè)。Atmel 提供帶有 100 kHz SMBus 兩線協(xié)議的 AT97SC3203S，用于嵌入式系統(tǒng)，包括游戲。與 LPC 接口單元類似，SMBus 接口 TPM 采用 28 引腳 TSSOP 或 40 引腳四方扁平無(wú)引腳 （QFN） 封裝。除了標(biāo)準(zhǔn) TCG 推薦的封裝（28 引腳 TSSOP）外，STMicroelectronics 還提供采用 4.4 mm TSSOP28 和超小型 QFN 封裝的 ST19WP18。

圖 2

圖 3

對(duì) TPM 運(yùn)營(yíng)的其他支持包括 NTRU Cryptosystems、Core TCG 軟件堆棧和 Wave Systems、具有 EMBASSY 安全中心或 EMBASSY 信任套件的加密服務(wù)提供商。圖 4 顯示了 STMicroelectronics 架構(gòu)中的這些元素。其他供應(yīng)商，?? TPM 實(shí)施也包括這些組件。

圖 4

除了離散的 TPM 之外，目前還可以從各種半導(dǎo)體供應(yīng)商處獲得與其他功能集成的版本。最近，與 TPM 相關(guān)的應(yīng)用程序開發(fā)越來(lái)越受到獨(dú)立軟件供應(yīng)商的關(guān)注?？尚庞?jì)算領(lǐng)域的一些領(lǐng)先供應(yīng)商已經(jīng)開始銷售使用 TPM 的企業(yè)安全系統(tǒng)。

使用 TPM 密鑰

根據(jù) TPM 密鑰的類型，允許不同的訪問。在圖 5 中自下而上工作時(shí)，每個(gè) TPM 都有一個(gè)唯一的“內(nèi)部”RSA 密鑰對(duì)，稱為背書密鑰 （EK） 對(duì)。大多數(shù) TPM 包括一個(gè)預(yù)編程的 EK 對(duì)，而一些實(shí)現(xiàn)可以在板上自行生成 EK 對(duì)。TPM 具有使用 EK 對(duì)進(jìn)行有限操作集的專有能力；TPM 之外的實(shí)體或進(jìn)程不能直接使用它。

圖 5

與EK對(duì)相對(duì)應(yīng)的是EK證書。理想情況下，TPM 制造商在 TPM 中創(chuàng)建 EK 對(duì)，并向 TPM 頒發(fā)唯一的 EK 證書；但是，供應(yīng)鏈中的另一個(gè)實(shí)體，例如 OEM 或 IT 購(gòu)買者可以頒發(fā) EK 證書。

為了在一定程度上向外界報(bào)告其內(nèi)部狀態(tài)或其寄存器的狀態(tài)或內(nèi)容，TPM 使用單獨(dú)的 RSA 密鑰對(duì)進(jìn)行 RSA 簽名。此密鑰對(duì)稱為證明身份密鑰 （AIK） 對(duì)，也是在授權(quán)所有者發(fā)出正確命令時(shí)在 TPM 內(nèi)部生成的。作為證明密鑰對(duì)，AIK 私鑰只能用于兩個(gè)目的：簽署（或證明）TPM 內(nèi)部狀態(tài)報(bào)告和簽署（或證明）其他通用密鑰。

對(duì)于強(qiáng)大的數(shù)字身份，外部世界可以使用 AIK 對(duì)來(lái)識(shí)別一個(gè) TPM 與另一個(gè)。為了保護(hù)用戶在具有 TPM 的平臺(tái)上的隱私，給定的 TPM 可以隨時(shí)生成和操作多個(gè) AIK 對(duì)。這允許用戶指示 TPM 為不同的交易使用不同的 AIK 對(duì)，從而使竊聽者難以跟蹤和關(guān)聯(lián)交易。

與 AIK 對(duì)對(duì)應(yīng)的是 AIK 證書。AIK 證書僅由可信任的實(shí)體頒發(fā)，以查看 EK 證書而不透露其詳細(xì)信息。這樣的實(shí)體在可信計(jì)算術(shù)語(yǔ)中被稱為隱私證書頒發(fā)機(jī)構(gòu)，因?yàn)樗C發(fā) AIK 證書并維護(hù) EK 證書信息的隱私。

TPM 允許生成和使用通用 RSA 密鑰對(duì)，例如用于加密和簽名的密鑰對(duì)。當(dāng)私鑰由 AIK 私鑰（TPM 駐留密鑰）進(jìn)行數(shù)字簽名時(shí)，通用密鑰對(duì)被視為認(rèn)證密鑰 （CK）。根據(jù) TPM 資源，可以使用任意數(shù)量的 CK 對(duì)。

使用適當(dāng)?shù)膮f(xié)議，外部實(shí)體可以驗(yàn)證給定的 CK 對(duì)是 TPM 駐留的。證明 TPM 駐留密鑰的能力代表了 TPM 吸引人的特性之一，因?yàn)榕c受軟件保護(hù)的密鑰相比，受 TPM 保護(hù)的密鑰更難竊取或修改?？勺C明性功能允許具有 TPM 的平臺(tái)上的軟件應(yīng)用程序與外部實(shí)體進(jìn)行交易并（向該外部實(shí)體）證明它正在使用的密鑰位于 TPM 中并由 TPM 操作，從而增加了該外部實(shí)體， ??s 的信任。

為了證明 CK 對(duì)是 TPM 駐留的，TCG 為 X.509 v3 證書標(biāo)準(zhǔn)指定了一個(gè)特殊的證明擴(kuò)展。X.509 v3 證書帶有 TCG 指定的 CK 公鑰認(rèn)證擴(kuò)展，稱為 CK 證書。為了支持廣泛部署和與現(xiàn)有證書頒發(fā)機(jī)構(gòu)產(chǎn)品和服務(wù)的兼容性，證書頒發(fā)機(jī)構(gòu)（符合 RFC3280 標(biāo)準(zhǔn)）無(wú)需查看 EK 證書即可頒發(fā) CK 證書。

保護(hù)入口點(diǎn)

全球范圍內(nèi)的漏洞測(cè)試以及黑客和小偷的攻擊不斷暴露出軟件、硬件和整體保護(hù)策略的弱點(diǎn)。在最近的一份報(bào)告中，普林斯頓大學(xué)的研究人員認(rèn)為，當(dāng)他們凍結(jié)計(jì)算機(jī)的 DRAM 時(shí)，他們發(fā)現(xiàn)了 TPM 的一個(gè)弱點(diǎn)。相反，測(cè)試過(guò)程本身使系統(tǒng)容易受到攻擊。

一旦解密的密鑰從 TPM 傳遞到主系統(tǒng)內(nèi)存 （DRAM），密鑰可能仍然完好無(wú)損。從 DRAM 內(nèi)存中移除電源而不是將系統(tǒng)掛起在睡眠模式中，提供了一種易于實(shí)施的策略來(lái)避免未經(jīng)授權(quán)的訪問。這只需要使用休眠模式或關(guān)閉計(jì)算機(jī)。但是，此示例中的測(cè)試表明，不當(dāng)使用會(huì)降低安全工具的有效性。

如果使用得當(dāng)，TPM 可以通過(guò)其密鑰和證書功能添加幾個(gè)更高級(jí)別的安全功能。許多公司認(rèn)識(shí)到 TPM 具有提供更高安全性的潛力，因此在其產(chǎn)品中加入了該模塊。如果實(shí)現(xiàn)，這相當(dāng)于所有筆記本電腦和臺(tái)式機(jī)的 90% 以上的附加率。利用 TPM 在提供網(wǎng)絡(luò)入口點(diǎn)的位置（例如手機(jī)和 PDA）建立強(qiáng)大的設(shè)備身份，將增加進(jìn)一步的保護(hù)并關(guān)閉黑客和竊賊的后門。

審核編輯：郭婷