powershell - TPM 和私钥保护

Question

假设我在 Powershell 中创建了一个自签名证书，如下所示:

New-SelfSignedCertificate -Provider "Microsoft Platform Crypto Provider" -Subject "CN=foobar" -KeyExportPolicy NonExportable -KeyAlgorithm RSA  -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter $((Get-Date).AddYears(10))  

证书的预期用途是对 powershell 脚本进行代码签名。

因为 Provider 是 MS platform crypto provider key 将由嵌入在我的主板中的可信平台模块 (TPM) 芯片生成。

因此，私钥现在存储在“黑盒”TPM 中。那么是否需要包装/密码保护私钥？

Answer 1

由 TPM 创建的任何 key 都已被包装，通过以下方式:

TPM 1.2 的存储根 key ，或

指示为 TPM 2 的键的父级的主键之一

因此， key 在创建 key 时由其中一个根 key 包装，您无需做任何特别的事情来实现它。事实上，你不能让它不发生。

TPM 规范保证根 key 本身永远不会离开 TPM。如果您想保证新生成的 key 也永远不会离开 TPM，请将其设为不可迁移。

此外，您还可以对上述任何 key 进行密码保护。是否这样做取决于您的具体要求。但是请记住，TPM 规范并不专注于防止物理攻击，因此如果您失去对计算机的物理访问权限，您可能应该认为它已受到损害。