¿Hay algún punto para almacenar un certificado en un TPM?
Por lo que entiendo, un certificado es de conocimiento público. La única preocupación sobre los certificados es aceptar un certificado deshonesto.
Hay algunos certificados que tienen sentido almacenar en un TPM, y cada uno de ellos es un certificado para el TPM o está relacionado con él. El certificado de clave de aprobación (EK), a menudo emitido por el fabricante del TPM, puede almacenarse en el TPM. Los certificados de plataforma, los certificados de conformidad y los certificados de conformidad de plataforma también se pueden almacenar en el TPM. Cada uno de los certificados enumerados tiene un índice designado para almacenar en el almacenamiento de TPM NV, sin embargo, cualquier blob de datos (certificado o de otro tipo) se puede almacenar en el TPM, siempre que haya espacio disponible.
El motivo para almacenar cualquier cosa en el TPM es que el almacenamiento puede ser persistente en la computadora. No está en el disco duro y no está administrado por un sistema operativo. Los fabricantes de plataformas y TPM colocan los certificados TPM en el TPM para que estén disponibles cuando el usuario final particiona las unidades y carga un sistema operativo. Dependiendo de la situación, un usuario final puede querer almacenar otros datos allí por las mismas razones. Por ejemplo, arranque dual a volúmenes encriptados, o intercambio de unidades entre sistemas operativos, si desea almacenar algunos bits de datos. Es posible que esos datos sean un blob de clave de identidad cifrada.
El almacenamiento de NV del TPM es limitado, algo lento y difícil de administrar. No se debe utilizar, excepto en situaciones en las que las ventajas superen los inconvenientes. Esas son muy pocas situaciones.
Los certificados TPM son, en su mayor parte, como cualquier otro certificado. El certificado EK es un certificado de clave pública, que contiene la parte pública de la clave de identidad / almacenamiento de por vida del TPM. Generalmente es firmado por el fabricante de TPM. Aún debe validarlo utilizando una cadena de certificados que se puede obtener en el sitio web del fabricante. Para saber que el TPM contiene la parte privada de esa clave, deberá realizar una de las pocas acciones que obligan al TPM a descifrar algo que cifró con la clave pública que se encuentra en el certificado. Una vez que haya realizado estas tareas, debe tener una alta seguridad de que el certificado es válido. El certificado de la plataforma es un certificado de atributo y no contiene una clave pública. Está firmado por el fabricante de la plataforma y se debe validar contra la cadena de certificados del fabricante. El certificado de la plataforma contiene el número de serie del certificado EK en la parte firmada, de modo que puede estar seguro de que el fabricante de la plataforma hizo referencia a los dos certificados que se deben emparejar.
Lea otras preguntas en las etiquetas certificates