Tomar posesión del TPM 2.0

Navega tus respuestas
0

Cuando intento tomar posesión de mi TPM 2.0, ejecuto el comando tpm2_takeownership . Por primera vez, recibí este error: 

 ./tpm2_takeownership -e 0123 -o 0123 -l 0123
......Change Hierarchy Owner Auth Succ......
......Change Hierarchy Endorsement Auth Succ......
......Change Hierarchy Lockout Auth Error. TPM Error:0x98e......

Ahora, cuando quiero cambiar cualquier autorización, falla: 

./tpm2_takeownership -l 0123 -o 0123 -e 0123 -L 0123 -O 0123 -E 0123
......Change Hierarchy Owner Auth Error. TPM Error:0x9a2......

O 

./tpm2_takeownership -c

Start to clear the Hierarchy auth....

ClearControl Failed ! ErrorCode: 0x9a2

No encontré ninguna información sobre el código de error, así que revisé las fuentes y encontré esto código (línea 127). Todas estas definiciones son del mismo tipo que el código de error impreso en tpm2_takeownership comando. (línea 91) Sube al error 0x97F, pero no hay signos del código de error 0x9a2 y 0x98e.

La versión de mi función tpm2-tools: 

./tpm2_verifysignature, version 1.0.0
./tpm2_getpubek, version 1.0.0
./tpm2_nvreadlock, version 1.0.0
./tpm2_evictcontrol, version 1.0.0
./tpm2_loadexternal, version 1.0.0
./tpm2_nvwrite, version 1.0.0
./tpm2_nvdefine, version 1.0.0
./tpm2_rsaencrypt, version 1.0.0
./tpm2_quote, version 1.0.0
./tpm2_listpersistent, version 1.0.0
./tpm2_activatecredential, version 1.0.0
./tpm2_unseal, version 1.0.0
./tpm2_getpubak, version 1.0.0
./tpm2_getrandom, version 1.0.0
./tpm2_load, version 1.0.0
./tpm2_createprimary, version 1.0.0
./tpm2_takeownership, version 1.0.0
./tpm2_hash, version 1.0.0
./tpm2_encryptdecrypt, version 1.0.0
./tpm2_makecredential, version 1.0.0
./tpm2_nvread, version 1.0.0
./tpm2_readpublic, version 1.0.0
./tpm2_listpcrs, version 1.0.0
./tpm2_akparse, version 1.0.0
./tpm2_nvrelease, version 1.0.0
./tpm2_hmac, version 1.0.0
./tpm2_sign, version 1.0.0
./tpm2_nvlist, version 1.0.0
./tpm2_create, version 1.0.0
./tpm2_rsadecrypt, version 1.0.0
./tpm2_certify, version 1.0.0
./tpm2_getmanufec, version 1.0.0

El módulo tpm está cargado: 

lsmod| grep tpm
tpm_crb                16384  0

El daemon resourcemgr se está ejecutando: 

ps aux | grep resourcemgr
root     10720  0.0  0.0 170672  1024 ?        Sl   juin16   0:00 resourcemgr

Y finalmente uso el Intel Stack , creo que el problema no viene de aquí, ya que pasa todas las pruebas (~ / TPM2.0-TSS / test / tpmtest / tpmtest)

Actualmente estoy atascado en este punto, así que cualquier idea de lo que significan estos dos errores (0x9a2 y 0x98e).

Editar: Entonces, realicé algunas pruebas en el TPM2.0-TSS, y especialmente las pruebas de reloj: 

    CLOCK/TIME TEST:
Q - QUIT THIS TEST GROUP
D - PRINT DESCRIPTION ON ALL CASES IN THIS GROUP
0 - RUN ALL TEST CASES
Please select an action:0

RUN ALL TEST CASES:

CLOCK/TIME TEST:
        passing case:   PASSED!

Current Time:498603768, Current Clock Info:565355598
        passing case:   FAILED!  TPM Error: 0x9a2

Y, tengo el mismo código de error en esta prueba que cuando ejecuto tpm2_takeownership. ¿Significa esto que el reloj interno puede causar daños?

EDIT 2: En realidad, también tengo este error 0x9a2 en estas pruebas: 

34 - ASYMMETRIC ENCRYPT/DECRYPT TESTS
35 - VERIFY SIGNATURE WITH EXTERNAL KEY TEST
36 - VERIFY SIGNATURE WITH CREATED KEY TEST
37 - NV EXTENSION TEST
38 - PCR EXTENDED TEST
    
pregunta Damien 20.06.2016 - 16:27
fuente

1 respuesta

2

El 0x9a2 significa que la autenticación de la plataforma del propietario auth no es nula. Puede ser desde el BIOS en sí, o desde un takeownership anterior.

La solución es borrar estas autorizaciones. En un NUC NUC5i3MYHE, hay un puente.

  • Tire del puente y apáguelo.
  • reiniciar. Llegarás a un ConfigMenu.
  • Presione [4] Borre el TPM . Tenga cuidado, si ya ha creado claves, no podrá recuperarlas.

Ahora, las 3 autorizaciones son nulas, y usted puede tomar posesión y ejecutar las pruebas.

    
respondido por el Damien 12.07.2016 - 13:53
fuente

Lea otras preguntas en las etiquetas

Cómo extraer el hash de SMB ¿Cómo es seguro usar un punto final para claves públicas?