¿Hay alguna forma de evitar que las nuevas áreas NVRAM se definan en un TPM hasta el próximo reinicio (similar a los tipos de protección del ciclo de alimentación)? La razón por la que pregunto es porque el firmware puede verificar las áreas de NVRAM en ciertos índices codificados al inicio y estos podrían modificar su funcionamiento. Un ejemplo sería el FWMP en los Chromebooks.
Para borrar un índice NV o definir uno nuevo, debe tener acceso a los datos de autenticación del propietario. Si controla estos datos, entonces controla las partes de borrar y escribir del almacenamiento de NV del TPM. Los controles de acceso para leer datos NV se establecen cuando se define cada índice NV. Si el índice está definido para requerir la autorización del propietario para leer, eso es lo que TPM aplicará.
El TPM es la única autoridad sobre su almacenamiento NV, pero realmente no le importa su contenido. (El TPM utiliza el espacio de NV para fines internos, como el almacenamiento del respaldo privado y las claves de la raíz de almacenamiento, pero esta parte de la NV no está expuesta al propietario o usuario del TPM). El TPM no lee, escribe , elimine o modifique cualquier cosa en NV sin que se le solicite explícitamente que lo haga. Cualquier cosa en el sistema operativo que funcione con TPM NV debe ser compatible con TPM. El NV del TPM no se trata como otras formas de almacenamiento no volátil que un sistema operativo tiene a su disposición.
Lea otras preguntas en las etiquetas tpm trusted-computing