¿Está bien sellar los datos a TPM SRK directamente?

Navega tus respuestas
1

Al revisar varios programas y bibliotecas de TPM, he notado que al sellar datos al TPM, siempre se crea una nueva clave (envuelta por el SRK), y esa nueva clave se carga y se usa en la operación de sellado. Cuando desempaquetar, la subclave debe primero ser cargada (desenvuelta) antes de la operación de desellado se puede realizar.

¿Es necesario crear una nueva clave para cada operación de sellado, o ¿Se puede usar el SRK directamente para sellar datos? Si es necesario, ¿cuáles son? ¿La seguridad y / o razones prácticas por las que es necesario?

    
pregunta frasertweedale 11.02.2016 - 08:33
fuente

1 respuesta

1

En teoría, es posible porque una operación de sellado necesita una clave de almacenamiento, y un SRK es una clave de almacenamiento. En la práctica, no se implementa, ya que normalmente se le otorga a la SRK el WKS (Well-known-Secret = 20 bytes de 0x0) o una contraseña vacía, por lo que no es una buena idea en relación con la dimensión de seguridad.

EDITAR: acabo de registrar TrouSerS, tpm_sealdata crea una clave con keyCreateKey que llama a Tspi_Key_CreateKey que necesita una clave de ajuste. tpm_sealdata llama a keyCreateKey con el SRK. Entonces, si usa TPM 1.2 y TrouSerS, necesita un envoltorio, y este envoltorio es el SRK. No sé cómo se hace para el TPM 2.0

    
respondido por el Damien 15.06.2016 - 16:33
fuente

Lea otras preguntas en las etiquetas

implementación de la capa de registro TLS ¿es posible interceptar paquetes de red fuera de lan?