¿Cómo se aprovisionan los TPM para Intel Trusted Execution Environment (TXT)?

13

Para que Intel TXT funcione, el TPM debe estar aprovisionado. Intel proporciona algunas herramientas para hacer esto, pero muchas están protegidas por un inicio de sesión no público o un NDA. Muchos proveedores de plataformas OEM suministran sus tableros y máquinas en el momento de la fabricación para que un usuario final pueda usar TXT. Dicho esto, estoy teniendo problemas para encontrar los detalles sobre qué estado necesita el TPM para trabajar con TXT.

¿Cuáles son los detalles del aprovisionamiento de TXT WRT el chip TPM?

Y además: Hay configuraciones de servidor y cliente TPM para TXT. ¿Cuál es la diferencia entre los dos?

    
pregunta Wilbur Whateley 15.06.2016 - 23:38
fuente

1 respuesta

-2

No entiendo la pregunta.

TXT está integrado en el conjunto de chips. Si hay un chip TPM en la placa (o en el chipset para Skylakes) y es compatible con BIOS (básicamente, debe verlo allí con al menos la opción "borrar"), TXT lo utiliza automáticamente.

Una vez que está allí y se inicializa (puede hacerlo usando pantalones (tpm1.2) o tpm-tools (tpm2.0) para Linux o panel de control de TPM en Windows) el conjunto de chips debe usarlo automáticamente durante el arranque para medir a sí mismo y al BIOS antes de cargarlo. Esta medida se establece en uno de los PCR en el TPM. Luego, el BIOS mide las biografías de las tarjetas HW, el sector de arranque o uefi y carga el cargador de arranque del sistema operativo. El cargador de arranque del sistema operativo mide el kernel y es decir, initrd (en linux) y lo carga. Entonces, es una pregunta qué tiene que hacer el TPM, pero si la clave de cifrado del disco duro se almacena allí, se puede abrir (si todas las mediciones anteriores fueron correctas) y enviarla al núcleo para el descifrado del disco duro. Eso es, en definitiva, cómo funciona.

Si ni siquiera ves el TPM en BIOS, tu MB no lo admite en absoluto.

Si solicita algo "de capa inferior", está realmente protegido por los NDA y está disponible solo para los proveedores OEM.

    
respondido por el Fis 27.05.2017 - 22:27
fuente

Lea otras preguntas en las etiquetas