TPM是什么(TPM是什么意思的缩写中文翻译)

TPM: Trusted Platform Module,定位为廉价的小芯片,提供密钥的安全存储,密码学协处理,系统状态的度量等功能。

TCG: Trusted Computing Group (https://trustedcomputinggroup.org) 制定TPM规范的组织,从官网可以下载TPM规范。

TPM规范定义了一个硬件的根信任,比软件更加安全。TPM的功能需要通过软件来使用,有一些开源的API实现。TPM提供完整性度量,健康检查和认证服务。

TPM可以做什么?

  • 批量对称加密(但厂商可能不会支持,这个受美国出口管制法限制)
  • 提供高质量的随机数生成器
  • 密码学服务
  • 受保护的内部存储空间,可以保存少量的数据。
  • 多种认证方式来访问受保护的密钥和数据
  • 数字证书签名和认证
  • 对密钥和数据签名。
  • 审计密钥和数据的使用。
  • 认证:报告平台状态
  • 封装:使用平台状态来授权访问密钥和数据

TPM的不同实现

TPM 2.0采用了库的定义方式,比1.2更加灵活,因此2.0有多种实现灵活性,例如:

  • 独立的TPM:TPM实现为一个独立的芯片,安全性最高。
  • 集成的TPM:TPM集成到某个芯片里。
  • 固件TPM:通过固件实现TPM,不需要额外芯片,由CPU在特定模式下运行固件里的软件。
  • 软件TPM:以软件实现的模拟TPM,适合测试开发阶段使用。而且开发测试阶段建议不要使用物理TPM,因为一旦把EK和根证书搞挂了,很难恢复。

下面是一些TPM的应用场景:

安全级别

典型应用场景

独立的TPM

最高

关键系统

集成的TPM

较高

网关等

固件TPM

娱乐领域的系统

软件TPM

测试和原型

虚拟TPM

云环境

2.0与1.2规范的差异

2.0规范在1.2的基础上增加了一些新的特性,比如:

  • 算法灵活性:TPM2.0引入了更多的算法支持,TPM1.2只支持一些固定的默认的算法,比如PCR扩展固定使用SHA1
  • 增强的授权:统一了授权的方式(和策略相关的一个改进)。
  • 快速密钥加载:改用对称加密算法,把密钥加载到TPM更快了。
  • PCR易用性:在1.2中,密钥与设备状态绑定后,如果设备状态发生改变,密钥也要改变。比如升级BIOS导致系统状态值变化,用户必须先unseal数据,升级,再seal数据。2.0则可以把数据与某个签名方认可的PCR值进行绑定,而不固定某个具体的PCR值。
  • 管理更灵活:不同授权方式可以独立使用。
  • 通过名称获取资源:大致是句柄会被替换的问题,而相同的名称总会产生相同的结果,不会被篡改,这些都是在协议层实现的,对用户来说只需要知道怎么用就可以了。

vTPM

vTPM需要libvirt和qemu支持,qemu支持vTPM有两种方式,一种是passthrough,透传宿主机的设备给虚机,宿主机需要有这个设备,

另一种是模拟器方式,从ChangeLog来看,qemu从2.11开始加入TPM模拟器的支持。而目前推荐使用的版本是qemu 2.12,libvirt 4.5。

编译TPM模拟器swtpm

实际上,qemu模拟TPM是利用外部的TPM模拟器实现的,需要借助swtpm工具,因此首先需要编译出swtpm模拟器。下载libtpms和swtpms的源码:

  • https://github.com/stefanberger/libtpms
  • https://github.com/stefanberger/swtpm

按照顺序,编译源码并安装。安装完后,可以查看版本

[root@centos8 ~]# swtpm --versionTPM emulator version 0.2.0, Copyright (c) 2014 IBM Corp.

如果编译时有crypto报错,检查是否安装了openssl-devel。

CentOS 8没有带python3twisted包,可先安装python3-pip,再用pip3安装twisted。

编译qemu

CentOS yum源里带的qemu-kvm并没有编译TPM模拟器的支持,如果虚机xml配置为tpm模拟器,启动虚机时提示不支持emulator backend,表示qemu编译时没有带TPM模拟器支持,需要手工编译。

以qemu 3.1.0为例,下载源码及编译

cd qemu-3.1.0mkdir buildcd build../configuremake

可以通过configure –help查看编译选项,TPM默认是打开编译的。编译x86_64即可,编译所有架构会很费时间。

编译完成后,build/x86_64-softmmu/qemu-system-x86_64为编译出的qemu执行程序,将其替换虚机xml的emulator字段。

视qemu编译选项的不同,虚机xml可能需要作相应的调整,移除不支持的设备。

配置虚机XML

可以通过virt-manager为虚机添加TPM设备(TIS),也可以手动编辑XML文件添加:

<tpm model='tpm-tis'><backend type='emulator' version='2.0'/></tpm>

有CRB和TIS两种模型,底层都是通过swtpm模拟的。libvirt官网的说明是,TIS是默认的模型,CRB只能用于TPM 2.0。用默认的设备模型即可。

启动虚机并安装TPM协议栈和工具

启动虚机,qemu会自动创建一个swtpm模拟器进程,并通过unix domain socket与之交互。

[root@centos8 ~]# ps aux | grep qemutss 19796 0.0 0.0 33672 3140 ? Ss Oct12 0:00 /usr/bin/swtpm socket --daemon --ctrl type=unixio,path=/var/run/libvirt/qemu/swtpm/3-centos77-swtpm.sock,mode=0600 --tpmstate dir=/var/lib/libvirt/swtpm/fdaa7820-ffc4-4dd3-b3ae-5b456e38e5a6/tpm2,mode=0600 --log file=/var/log/swtpm/libvirt/qemu/centos77-swtpm.log --tpm2 --pid file=/var/run/libvirt/qemu/swtpm/3-centos77-swtpm.pidqemu 19815 0.9 16.0 5100588 1310696 ? Sl Oct12 122:58 /root/qemu-3.1.0/build/x86_64-softmmu/qemu-system-x86_64 -name guest=centos77,debug-threads=on -S -object secret,id=masterKey0,format=raw,file=/var/lib/libvirt/qemu/domain-3-centos77/master-key.aes -machine pc-q35-2.10,accel=tcg,usb=off,vmport=off,dump-guest-core=off -m 2048 -realtime mlock=off -smp 1,sockets=1,cores=1,threads=1 -uuid fdaa7820-ffc4-4dd3-b3ae-5b456e38e5a6 -no-user-config -nodefaults -chardev socket,id=charmonitor,fd=30,server,nowait -mon chardev=charmonitor,id=monitor,mode=control -rtc base=utc,driftfix=slew -global kvm-pit.lost_tick_policy=delay -no-hpet -no-shutdown -global ICH9-LPC.disable_s3=1 -global ICH9-LPC.disable_s4=1 -boot strict=on -device pcie-root-port,port=0x10,chassis=1,id=pci.1,bus=pcie.0,multifunction=on,addr=0x2 -device pcie-root-port,port=0x11,chassis=2,id=pci.2,bus=pcie.0,addr=0x2.0x1 -device pcie-root-port,port=0x12,chassis=3,id=pci.3,bus=pcie.0,addr=0x2.0x2 -device pcie-root-port,port=0x13,chassis=4,id=pci.4,bus=pcie.0,addr=0x2.0x3 -device pcie-root-port,port=0x14,chassis=5,id=pci.5,bus=pcie.0,addr=0x2.0x4 -device pcie-root-port,port=0x15,chassis=6,id=pci.6,bus=pcie.0,addr=0x2.0x5 -device pcie-root-port,port=0x16,chassis=7,id=pci.7,bus=pcie.0,addr=0x2.0x6 -device qemu-xhci,p2=15,p3=15,id=usb,bus=pci.2,addr=0x0 -device virtio-serial-pci,id=virtio-serial0,bus=pci.3,addr=0x0 -drive file=/var/lib/libvirt/images/centos77.qcow2,format=qcow2,if=none,id=drive-virtio-disk0 -device virtio-blk-pci,scsi=off,bus=pci.4,addr=0x0,drive=drive-virtio-disk0,id=virtio-disk0,bootindex=1 -drive file=/root/CentOS-7-x86_64-Minimal-1908.iso,format=raw,if=none,id=drive-sata0-0-0,media=cdrom,readonly=on -device ide-cd,bus=ide.0,drive=drive-sata0-0-0,id=sata0-0-0 -netdev tap,fd=32,id=hostnet0 -device virtio-net-pci,netdev=hostnet0,id=net0,mac=52:54:00:fd:6c:2c,bus=pci.1,addr=0x0 -chardev pty,id=charserial0 -device isa-serial,chardev=charserial0,id=serial0 -chardev socket,id=charchannel0,fd=33,server,nowait -device virtserialport,bus=virtio-serial0.0,nr=1,chardev=charchannel0,id=channel0,name=org.qemu.guest_agent.0 -tpmdev emulator,id=tpm-tpm0,chardev=chrtpm -chardev socket,id=chrtpm,path=/var/run/libvirt/qemu/swtpm/3-centos77-swtpm.sock -device tpm-tis,tpmdev=tpm-tpm0,id=tpm0 -device usb-tablet,id=input0,bus=usb.0,port=1 -vnc 0.0.0.0:0 -device VGA,id=video0,vgamem_mb=16,bus=pcie.0,addr=0x1 -device ich9-intel-hda,id=sound0,bus=pcie.0,addr=0x1b -device hda-duplex,id=sound0-codec0,bus=sound0.0,cad=0 -device virtio-balloon-pci,id=balloon0,bus=pci.5,addr=0x0 -object rng-random,id=objrng0,filename=/dev/urandom -device virtio-rng-pci,rng=objrng0,id=rng0,bus=pci.6,addr=0x0 -sandbox on,obsolete=deny,elevateprivileges=deny,spawn=deny,resourcecontrol=deny -msg timestamp=onroot 30563 0.0 0.0 11780 1048 pts/3 S 12:02 0:00 grep --color=auto qemu[root@centos8 ~]#

1.2使用的主流协议栈是IBM的trousers开源实现(托管在sourceforge),交互工具是tpm-tools包。2.0使用的主流协议栈和工具是tpm2-tss和tpm2-tools,代码托管在https://github.com/tpm2-software,最初应该是Intel主导的开源项目。

协议栈和工具在CentOS有对应的包,可以直接安装,因为功能还在开发中,建议使用如CentOS8这种较新的发行版,可以装载高一点的版本,或者自行从源码编译。

TSS和TPM模拟的版本要相符。

这里以模拟TPM 2.0为例,需要从yum安装:tpm2-abrmd, tpm2-tss和 tpm2-tools。tpm2-abrmd实现Broker和RM,tpm2-tss实现部分协议栈,tpm2-tools是命令行交互工具集。

执行tpm2_pcrlist,可以打印出pcr寄存器的值,表示安装成功。

TPM的实现层级

TPM是什么(TPM是什么意思的缩写中文翻译)

TPM协议栈层级关系

整个TPM的层级和关系如图。以tpm2工具集为例,大体划分如下:

  • tpm2-tools处于应用层,调用tpm2-tss协议栈的接口实现具体的功能。
  • tpm2-tss实现了TSS协议栈,并对应用层提供接口,依据应用的需要,接口可以有层次之分。
  • tpm2-abrmd实现TAB(TPM2 Access Broker)和Resource Mgr两个部分,这一层负责资源调度和协调,上下文切换。它其实也属于协议栈,只是在实现上分开了,可以看出,TPM的实现是很灵活的。
  • TCTI即TPM Command Transmission Interface,属于非常底层的接口,只有在系统启动初期或嵌入式系统中才会直接基于该接口进行开发,这里传输的命令在规范中都有相应的定义。

若要开发应用,需要根据待实现的功能,应用所处的运行环境,选择不同的接口层,根据TPM规范进行实现。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2024年4月22日 下午12:30
下一篇 2024年4月22日 下午12:41

相关推荐

  • 项目管理系统it架构图

    项目管理系统it架构图 随着现代软件开发和项目管理的不断进步,项目管理系统已经成为许多组织中不可或缺的一部分。项目管理系统可以帮助组织更好地管理项目,提高项目管理的效率和质量。 在…

    科研百科 4天前
    0
  • 管理日程的软件

    管理日程的软件 随着现代生活的节奏不断加快,我们的时间变得越来越宝贵。如何有效地管理时间成为了一个重要的问题。现在,有许多软件可以帮助我们管理日程,让我们更加高效地度过时间。 其中…

    科研百科 2024年10月3日
    30
  • 律师视点丨用人单位内部承包制度所引发的常见争议与合规实操建议

    作者: 胡高崇、胡文杰、李希 北京市中伦文德律师事务所 一、 引言 在企业用工管理的过程中,通常而言,员工与用人单位之间会建立唯一的法律关系—劳动关系。但在某些情况下,出于最大化利…

    科研百科 2024年1月23日
    196
  • 节能评估文件编制费用支付标准的通知

    节能评估文件编制费用支付标准的通知 尊敬的各位节能评估申请人: 根据《节能评估办法》和《节能评估文件编制规范》的要求,为做好节能评估工作,现将节能评估文件编制费用支付标准通知如下:…

    科研百科 2024年10月22日
    2
  • 晨越建管营收破5亿大关:重点业务全过程工程咨询服务收入增长120% 6年分红近3亿

    近日,新三板创新层挂牌企业晨越建设项目管理集团股份有限公司(证券简称:晨越建管,证券股票代码:832859)发布2021年年报。 公司营收同比增长19.31%,突破5亿元大关,净利…

    科研百科 2022年6月27日
    171
  • 项目经费列支

    项目经费列支:如何合理规划预算 项目经费列支是项目管理中非常重要的一环。合理的预算规划不仅可以提高项目的成功率,还可以保证项目在预算范围内完成。本文将介绍如何规划项目经费列支,包括…

    科研百科 2024年7月11日
    49
  • 【基层党建】西高山镇:“四项举措”助力党员教育管理提质增效

    今年以来,西高山镇按照“规定动作不走样、创新形式全覆盖、分类指导促提升、服务中心显成效”的工作思路,以坚定信仰、增强党性、提高素质为重点,结合“三抓三促”行动,持续加大对党员教育管…

    科研百科 2023年9月10日
    123
  • 几个比较不错的Go开源项目

    gin ⭐ GitHub stars: 64k Gin 是一个用 Go (Golang) 编写的 HTTP Web 框架。它具有类似 Martini 的 API,性能要好得多——速…

    科研百科 2023年8月27日
    145
  • 通过科研项目引流的可行性

    通过科研项目引流的可行性 随着互联网的发展,越来越多的人开始关注科研领域。科研项目是一个非常重要的资源,可以为研究人员提供大量的数据,帮助他们更好地理解世界。同时,科研项目也是一种…

    科研百科 2024年8月13日
    34
  • 项目管理系统体验

    项目管理系统体验 随着现代企业规模的不断扩大,项目管理系统已经成为了许多企业必备的工具之一。一个好的项目管理系统不仅可以提高项目的效率,还可以帮助企业更好地管理项目进度、资源、风险…

    科研百科 4天前
    0