¿Qué controla nvLocked en un TPM? He leído que hace que se hagan cumplir los permisos de acceso a la NVRAM, pero me gustaría ver ejemplos. También se le conoce como permanente, pero la documentación es ambigua. Bloqueado "permanentemente" hasta que el propietario del TPM se reinicie o bloquee permanentemente como un fusible programable?
De acuerdo con la sección 28.2 de la Parte 1 de las especificaciones del TPM 1.2 (encontrado here ), nvLocked es el estado en el que el fabricante del TPM puede colocar el TPM después de definir cada índice NV que se mantendrá permanentemente en el TPM. Un índice no permanente se puede definir después de que nvLocked se haya establecido en verdadero, pero no se puede establecer como permanente con el bit D establecido.
Esto generalmente viene a jugar cuando el fabricante del TPM almacena el certificado de clave de aprobación (EK) en NV. Establecen el bit D del índice, lo que hace que el índice de certificado EK sea 0x1000f000, en lugar de 0x0000f000. Esto también coloca permanentemente el certificado EK en la tienda NV de TPM. Una vez que el TPM está bloqueado, no se puede definir más índice NV usando el bit D. Si un fabricante de plataforma desea almacenar un certificado de plataforma, tendrá que hacerlo en el índice 0x0000f002, en lugar de poder definir permanentemente el índice en 0x1000f002. El efecto práctico es que el índice se puede publicar y ese mismo índice se puede redefinir y se puede escribir un nuevo certificado.
"Permanente" aquí significa tener la misma vida que la EK. El TPM 1.2 permite opcionalmente que el EK sea revocable, pero que yo sepa, ningún fabricante de TPM ha elegido implementar esa opción.
Lea otras preguntas en las etiquetas tpm