Los nuevos procesadores Skylake han integrado TPM 2.0 en su interior.
¿Hay alguna forma de usar el TPM 2.0 como token PKCS # 11 en Windows y Linux para claves simétricas y asimétricas?
TPM 1.2 tiene bibliotecas PKCS # 11 y estoy buscando algo similar para que TPM 2.0 use su nueva jerarquía de certificados y claves RSA.
- Es una pregunta antigua de bit , pero logré encontrar una solución que funcionó para mí.
Hay disponible en Github un módulo que proporciona el backend PKCS # 11 para los chips TPM 2.0.
Crear clave TPM
Cree una clave primaria con el algoritmo hash sha256 y el algoritmo de clave rsa y almacene el contexto del objeto en un archivo ( po.ctx ).
tpm2_createprimary -H o -g sha256 -G rsa -C po.ctx
Ahora cree un objeto que pueda cargarse en el TPM con el objeto principal desde el archivo ( po.ctx ) usando el algoritmo hash SHA256 y el algoritmo de clave RSA envía las claves pública y privada a key.pub|priv .
tpm2_create -c po.ctx -g sha256 -G rsa -u key.pub -r key.priv
Cargue las claves privadas y públicas en la memoria transitoria del TPM.
tpm2_load -c po.ctx -u key.pub -r key.priv -C obj.ctx
Haga que el objeto sea persistente, especificando un identificador válido.
tpm2_evictcontrol -A o -c obj.ctx -H 0x81010010
Ahora puedes eliminar todos los archivos temporalmente.
rm key.name *.ctx
Instala TPM2-PK11 y copia config.sample a ~/.tpm2/config .
Cree un certificado (por ejemplo, w / Certtool (GnuTLS)).
Configure su aplicación para usar TPM2-PK11 y la clave TPM creada.
Cree el archivo de configuración y cámbielo para su configuración:
cp config.sample ~/.tpm2/config
Extraer clave pública:
ssh-keygen -D libtpm2-pk11.so
Usa tu tecla TPM:
ssh -I libtpm2-pk11.so ssh.example.com
o agregue el módulo PKCS # 11 a su configuración ssh en ~/.ssh/config :
Host *
PKCS11Provider libtpm2-pk11.so
Preferences , Privacy & Security y haga clic en el botón Security Devices . libtpm2-pk11.so instalado en tu sistema.