cryptography - 是否可以对英特尔的可信平台模块进行编程

Question

我想知道是否可以对大多数英特尔芯片中存在的 TPM ( http://en.wikipedia.org/wiki/Trusted_Platform_Module ) 进行编程，以便:

- decide what to store in the persistent memory
- decide which cryptographic algorithms to implement.

显然，一旦它开始工作，它就不应该是可重新编程的(你知道这个说法是否正确吗？)。

Answer 1

TPM 的行为由 specifications 定义。由可信计算组发布。 TPM 必须完全按照指定的方式运行，因此您无法更改正确实现的 TPM 的功能。 TPM 制造商在发货后更新其产品的能力有限。例如，英飞凌为其设备提供固件更新。

但是，英特尔 TPM 可能会有所不同。一些芯片组包含模拟/软件 TPM，而不是实际的硬件 TPM。这些 TPM 可以通过 BIOS 更新进行更新。但在这种情况下，更新必须由英特尔提供。最近的主板(如 DQ67SW)具有非英特尔制造的独立硬件 TPM。

所以你第二个问题的答案是:不，你无法编程/定义加密算法 TPM 使用。

关于您的第一个问题:是的，您可以在某种程度上定义要在持久存储中存储的内容。此内存区域称为非 volatile 存储或 内华达州 .您必须先使用 定义一些空间TPM_NV_DefineSpace 命令。之后，您可以使用 读写该位置。 TPM_NV_ReadValue 和 TPM_NV_WriteValue .定义在 NV 中保留给定数量的内存，并设置此位置的安全属性。这些命令是低级 TPM 命令，强烈建议使用 可信软件堆栈 (TSS) 连接 TPM。您可以使用 jTSS与 jTpmTools或 TrouSerS .

关于 NV 的一些注意事项:

NV 中的空间非常有限，但具体数量取决于供应商(通常小于 5kb)。 PC 平台的最小数量为 2048 字节。

TPM 是一种被动设备，如果没有向它发出命令，它就无法做任何事情。如果你想在 TPM 中存储一些东西，你必须有一些事件部件(BIOS、软件、芯片组、CPU)来发出这些命令。

甚至大多数加密 key 也不存储在 TPM 中。有一个 key 层次结构，只有根 key (Storage Root Key - SRK)存储在 TPM 中。所有其他 key 都以加密方式存储在外部。