¿Cómo usar TPM para realizar la autenticación de la plataforma?

4

Actualmente estoy viendo TPM (Trusted Platform Module) y me pregunto cómo ofrece TPM la autenticación de la plataforma. Supongamos que se implementa un host legal en la nube. ¿Cómo uso TPM para asegurarme de que el host al que me estoy conectando sea ese mismo host, en lugar de otro host que tenga la misma configuración?

En principio, dado que ese mismo host está equipado con TPM, cuya clave de aprobación es única, puedo verificarlo a través de la clave pública de EK (clave de aprobación). Por ejemplo, puedo tener TPM para cifrar un mensaje con su clave privada de EK. Y lo descifro con la clave pública de EK. Sin embargo, busqué los documentos y no encontré ninguna API para cifrar explícitamente el mensaje arbitrario con la clave privada de EK.

Por lo general, ¿cómo se puede usar TPM para realizar dicha autenticación de host?

    
pregunta user1834567 01.04.2014 - 15:54
fuente

2 respuestas

5

Lo que necesita es certificación remota (operación QUOTE).

No se puede acceder directamente a la Clave de aprobación (EK), ya que sería un problema de privacidad. Podríamos rastrear un sistema usando este identificador único. El EK se puede utilizar junto con una clave de identidad de atestación (AIK) o el uso de la atentación anónima directa ( DAA ).

  • El modelo AIK utiliza un CA de privacidad (Autoridad de certificación) que confirma la validez de su EK a un tercero. Se pueden crear múltiples AIK para proteger su identidad (por ejemplo, un AIK por tercero, un AIK por dominio de seguridad).
  • El modelo DAA usa ' Prueba de conocimiento cero ' para verificar de forma anónima su EK. Consulte esto para obtener una idea general de cómo funcionan los protocolos de conocimiento cero.

Le sugiero que eche un vistazo a la OpenAttestation solución de código abierto de Intel, PrivateCA y esta presentación .

    
respondido por el northox 01.04.2014 - 18:30
fuente
1

Solo una pequeña corrección a lo que dijo Northox: la certificación remota usa un AIK y es lo que necesita. Puede obtener un AIK debidamente certificado utilizando una CA de privacidad o DAA, dependiendo de lo que tenga disponible.

Sin embargo, para este tipo de uso, es posible que no necesite el certificado AIK: si tiene acceso físico (o un canal de seguridad equivalente) a la máquina, puede hacer que genere un AIK y simplemente exportar su clave pública y úsalo para autenticarlo.

    
respondido por el Justin King-Lacroix 10.04.2015 - 18:19
fuente

Lea otras preguntas en las etiquetas