Cuándo extender la PCR [cerrado]

Question

Cuándo extender la PCR [cerrado]

#1 de Lampshade (2 votos)

1

El significado computacional detrás de la extensión de la PCR se encuentra fácilmente y se explica claramente. Simplemente, está extendiendo el hash. De hecho, es tan simple que creo que todos se olvidan de decir por qué se hace y cómo se gestiona, dejándome hacer algunas suposiciones:

Claramente, la PCR es para afirmar el estado de lo que se midió y, por lo tanto, la entidad que realiza la medición debe ser el propietario de la PCR.

Supuesto 1: Nada / nadie más debería extenderlo, ya que el PCR anterior se perdería.
Supuesto 2: Cada vez que se actualiza el PCR, la lista de mediciones a realizar también debe actualizarse. De lo contrario, el hash de medición y la PCR ya no coincidirán.

tpm

pregunta Michael 20.06.2017 - 07:47

fuente

1 respuesta

Lea otras preguntas en las etiquetas tpm

Consecuencias extremas en el tamaño del búfer ¿Qué es un formato de archivo que sea fácil de usar y amigable con el texto pero _largely_ no editable?

score 2 · Accepted Answer

Hay dos pautas a tener en cuenta para extender los PCR:

Cada vez que se realiza una medición de plataforma, un hash de esa medición debería extender un PCR.
La localidad y la raíz central de la confianza para la medición (CRTM) utilizadas, junto con las reglas de la plataforma, determinan qué PCR debe extenderse.

El rol del TPM como la raíz central de la confianza para la presentación de informes (CRTR) se reduce a poder firmar una cotización sobre un conjunto específico de PCR. La firma TPM solo puede cubrir las mediciones que se extienden a los PCR. Además, cualquier característica que bloquee el uso de claves para los valores de PCR solo puede verse afectada por las mediciones que amplían los PCR.

La PCR que se extienda puede ser algo complicada y puede que solo requiera tomar una decisión por su cuenta. El TCG tiene pautas para clientes de PC basadas en BIOS o EFI. Esas pautas especifican que los PCR 0-7 se usarán para las mediciones tomadas por el propio BIOS / EFI (o al menos en función del CRTM estático) antes de que se haya iniciado un sistema operativo. Los siguientes 8 PCR están básicamente reservados para el "sistema operativo seguro" que se ejecuta en el CRTM estático extendido. Dentro de ese grupo, la decisión sobre qué PCR se utilizan depende del sistema operativo. Windows y Linux utilizan un conjunto diferente de PCR para las mediciones. Dentro de Linux, GRUB y IMA pueden usar diferentes PCR.

Eche un vistazo a los PCR utilizados en su plataforma y vea cuáles se quedan sin usar, y hay una buena posibilidad de que pueda usar uno para sus propios fines. Las especificaciones de TPM sí reservan algunos PCR para uso o pruebas especiales. Es posible que desee evitar estos para uso de producción, pero puede usarlos para desarrollo. (Un PCR que puede ser reiniciado por el usuario sin requerir un reinicio no es excelente para la seguridad, pero es una característica realmente útil cuando se desarrolla su caso de uso).

Usted tiene razón en que se debe registrar cualquier cosa que extienda un PCR, aunque hay situaciones en las que esto posiblemente no sea necesario. Si simplemente está bloqueando algo a un valor de PCR dado, es posible que no le importe cómo se logró ese valor, solo que era . Al realizar la certificación remota, la evaluación de la firma que cubre las mediciones requiere poder replicar los valores de los PCR de las mediciones, lo que a su vez requiere tener un registro de mediciones que mantenga el orden.