Estoy intentando usar el TPM en una plataforma de Windows 10 para la autenticación basada en certificados. Después de luchar un poco con el código TSS.MSR, logré crear una clave de firma y usarla para crear un CSR y almacenar el certificado recuperado en el almacén de certificados de Windows.
Ahora quiero implementar mi propio proveedor de almacenamiento de claves para ser usado por el LSA. Encontré la siguiente información en este libro :
Para claves que no sean claves primarias, el TPM sirve como caché de claves. Ese es decir, el comando TPM2_Create crea una clave, lo envuelve (cifra) con el padre, y devuelve la clave envuelta a la persona que llama. La persona que llama guarda la clave externa al TPM, tal vez en el disco. Para usar la clave, el usuario primero debe cargarlo en el TPM bajo su padre usando TPM2_Load.
Sin embargo, no encuentro nada para realizar esta tarea utilizando la biblioteca mencionada anteriormente. Si llamo al método Create () - ofrecido por la biblioteca, obtengo un objeto TpmPrivate que no tiene métodos para exportar o almacenar.
Lo único que parece ser posible es duplicar esta clave de firma utilizando la política y la sesión y escribir el resultado recuperado en un archivo o registro. Después de eso, es posible que pueda volver a cargar la clave envuelta (con suerte) en el TPM para usarla para firmar los desafíos de LSA.
Mi pregunta es: ¿Es este el camino a seguir o me estoy perdiendo algo que podría facilitarle la vida?