Creo que tienes razón, el verificador sabe que tu TPM es confiable. Sin embargo, en el caso de DAA, el verificador no puede asignar el TPM al usuario.
En la inscripción del certificado AIK, la autoridad de certificación puede ser la misma entidad que verifica el certificado AIK.
Mientras que en DAA, no hay una autoridad de certificación involucrada. Hay un emisor que trabaja con una plataforma TPM para crear credenciales. Su plataforma TPM luego crea un AIK y firma este AIK con una firma DAA basada en esas credenciales. Esta firma y la clave pública se ponen a disposición de un verificador. El verificador no puede determinar el propietario del TPM en función de la información que recibe, pero sabe que es de confianza. El emisor puede ser el mismo que el verificador. Una aplicación es un servicio de suscripción en el que desea cierta privacidad.
Puedes crear tu propio certificado de CA usando openssl. la búsqueda web es tu amigo.
las herramientas del conjunto de pruebas de Pantalones se pueden usar junto con el software TPM de IBM sin un chip de hardware TPM para probar la certificación. He usado un Infineon TPM real usando un beagleboard como el TPM y un Kontron con un linux X86_64 personalizado creado por Yocto como mi CA. También hice DAA (realicé muchas correcciones a mi propia copia del código TrouSerS 0.3.10 para que DAA funcionara) tanto con el hardware TPM como con el software de IBM TPM. En cuanto a los certificados AIK, testsuite tiene Tsp_TPM_CreateIdentity.c que crea un AIK y activa el AIK. Inmediatamente después de crear un AIK, es cuando sigue la guía en el enlace a continuación para enviar la prueba de identidad a la CA. La prueba de identidad contiene el AIK que se crea a partir de Tspi_TPM_CollateIdentityRequest. Una vez que la CA devuelve el certificado AIK, llama a Tsp_TPM_ActivateIdentity y conserva el certificado AIK. El finado Hal Finney ejecutó un CA de privacidad, pero su enlace web ha estado inactivo durante un año y medio.
Inscripción en el certificado AIK