Estoy tratando con el TPM ahora mismo y no entiendo por qué es necesaria una clave de firma adicional. En lugar de eso, ¿uno podría usar una de las claves de identidad de certificación (AIK) para firmar también? Usar diferentes claves será una buena práctica, pero me gustaría obtener una vista más detallada sobre ese tema.
Descubrí que una de las ventajas es que la clave de firma puede ser migrable. Por lo tanto, cambiar la plataforma / tpm no necesariamente terminará en la revocación de los certificados creados.
¿Existen otras razones para una clave de firma separada?