En un TPM, si creo una clave de almacenamiento por Storage Root Key (SRK) y la almaceno fuera de TPM (migrable), el SRK puede ser su clave principal para cifrarlo.
Si la clave de almacenamiento es generada por SRK y luego almacenada fuera de TPM, ¿se puede usar esta clave de almacenamiento para generar y cifrar una clave de hoja? ¿O solo se puede usar una clave de almacenamiento no migrable para cifrar su clave de hoja?
¿Cuáles son los casos comunes?
Migrable no significa que esté almacenado fuera del TPM. Todas las claves, excepto la SRK y EK, se almacenan fuera del TPM.
La protección del TPM proviene del hecho de que el bloc almacenado fuera del TPM está cifrado por el SRK y solo se puede utilizar cuando nos retroalimentamos en el TPM.
La distinción 'migrable' define que una clave no está vinculada a un TPM específico y se puede usar (con la autorización adecuada) en otro lugar. Le sugiero que lea
IIRC, solo las claves EK, SRK y de certificación no se pueden migrar. Usted define si una clave es migrable o no en el momento de la creación.
Actualizado: Aquí hay otros dos documentos que cubren el proceso en diferente medida.
Lea otras preguntas en las etiquetas tpm trusted-computing