Cuando se usa un TPM para proporcionar mediciones de integridad para un sistema a través de SRTM , la base informática confiable se reduce a solo el TPM y CRTM . El CRTM es un componente de la BIOS (específicamente el bloque de arranque) que se ejecuta primero y permite que el TPM aumente el contenido restante de la BIOS, en efecto, lo que hace que incluso el firmware comprometido no pueda romper la cadena de confianza. Está pensado para ser de solo lectura y se almacena junto con el BIOS. Si no es de solo lectura, entonces no puede proporcionar integridad.
Normalmente, la cadena de confianza es así (donde se confía en CRTM y TPM):
-
El CRTM envía el hash del BIOS al TPM.
-
El BIOS envía el hash de la opción ROMs, MBR y el cargador de arranque al TPM.
-
El gestor de arranque envía un hash de los parámetros de kernel y de arranque al TPM.
-
El kernel se ejecuta y verifica la integridad de los ejecutables del espacio de usuario.
Cada etapa anterior verifica las etapas posteriores, hasta llegar al espacio del usuario. Cuando el núcleo está activo, el TPM solo se "abrirá" por sí mismo y revelará un valor secreto si todos los hashes que ha recibido hasta ahora son correctos. Un sistema comprometido no podrá desbloquear con éxito el TPM y no se revelará el valor secreto. El resultado final es que, si se confía en el CRTM, todo se habrá verificado y no será necesario, desde el BIOS hasta el kernel o el espacio de usuario. Todo esto se basa en el supuesto de que el CRTM y el TPM no pueden modificarse. Sin embargo, el potencial de problemas de implementación se destacó en la sección Ataques específicos de implementación en blog ITL .
¿Cómo se puede verificar que el CRTM de un proveedor específico es de solo lectura en hardware?