文章目录
上课没书,抄又抄不过来,先记这,里面大部分内容作者不懂。。
可信计算概述
定义、原理必考
可信计算的技术体系:
如浏览器的证书即可信认证
- 可信计算密码支撑平台是可信计算平台的重要组成部分,提供数字签名、身份认证、消息加密、内部资源的授权访问、可信链的建立和完整性测量等服务,为平台的身份可信性、完整性和数据保密性提供密码支持。
- 可信软件栈(TSS,TCG Software Stack)提供了应用程序访问TPM的接口,同时对TPM进行管理。TSS是可信计算密码支撑平台内部的支撑软件,为平台外部提供访问TPM的接口。可信计算平台是构建在计算系统中并用来实现可信计算功能的支撑系统。
- 可信网络连接TNC (Trusted Network Connect)的目的是确保网络访问者的完整性。TNC通过网络访问请求,搜集和验证请求者的完整性信息,依据一定的安全策略对这些信息进行评估,决定是否允许请求者与网络连接,从而确保网络连接的可信性。
可信平台模块
- 可信平台模块安全芯片,是指符合TPM标准的安全芯片,它能有效地保护PC、防止非法用户访问。
- 嵌有TPM的平台被称作为可信计算平台。TPM通过可信软件栈TSS为可信计算平台上的应用程序提供 完整性度量、存储和报告、远程证明,数据保护和密钥管理 4大核心功能。
- TPM的上述4大核心功能为平台提供了一个可信赖的环境,保障了平台中信息的机密性、完整性、真实性和可靠性。
- 完整性度量、存储和报告
TPM利用此功能实现可信计算“信任传递"。在可信传递过程中,TPM对影响平台完整性的实体进行度量,并将度量事件记入存储度量日志然后通过“扩展操作"将度量值存储到其内部的平台配置寄存器( PCR,Platform Configuration Register)。实体询问时, TPM忠实报告PCR中的值。- 远程证明
TPM拥有唯一的背书密钥(EK, Endorsement Key) ,可信计算平台用EK证书唯一标识其身份。为了保护平台隐私,TPM使用平台身份认证密钥AlK (Attestation ldentity Key)作为EK的别名,利用EK生成AlK,通过PCA (Privacy Certificate Authorities)签发AIK证书完成平台身份认证,通过使用AIK对当前平台的PCR值进行签名完成平台完整性状态证明。- 数据保护
TPM具有很好物理防篡改性,它通过建立保护区域,实现对敏感数据的访问授权。用PCR保护完整性度量值,用非易失性存储器保护EK(背书密钥)、存储根密钥SRK及属主授权数据,用以SRK为根的加密保护区保护EK之外的密钥和平台数据。特别地,还提供密封存储的数据保护手段,包括Seal操作和UnSeal操作。- 密钥管理
TPM安全管理7类密钥的生成、使用和存储,包括存储密钥、签名密钥、身份证明密钥(AIK和EK)、绑定密钥、密封密钥、派生密钥和鉴别密钥。各类密钥的使用功能受TPM严格限制,以增强系统安全性。这些密钥按移植属性不同被分为可迁移密钥(Migratable Key)和不可迁移密钥(Non-Migratable Key) 。
可信计算关键技术
可信计算包括5个关键技术,他们是完整可信系统所必须的,这个系统将遵从TCG规范。
- 签注密钥: 是一个2048位的RSA公共和私有密钥对,它在芯片出厂时随机生成并且不能改变。
- 安全输入输出: 指电脑用户和他们认为与之交互的软件间受保护的路径。
- 储存器屏蔽:拓展了一般的储存保护技术,提供了完全独立的储存区域。例如,包含密钥的位置。
- 密封储存: 通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。
- 远程认证: 准许用户电脑上的改变被授权方感知。
信息安全具有4个侧面:设备安全、数据安全、内容安全与行为安全。
可信计算为行为安全而生。
可信平台模块
可信平台模块(TPM)是一项安全芯片的国际标准,旨在使用设备中集成的专用微控制器安全硬件处理设备中的加密秘钥。TPM作为可信根,必须无条件信任。
- 可信:意味着传达一个期望行为,而这种行为并不是可以预测的。
- 可信平台模块安全芯片:可信平台模块安全芯片是指符合TPM标准的安全芯片,它能有效地保护PC、防止非法用户访问。
- 可信构建块(TBB):是一个组件或者一系列组件,用来实例化一个可信根,是可信源的一部分。
- 可信计算基(TCB):是一个基本的系统环境和资源(包含一些硬件和软件),是实现计算机系统安全保护的所有安全保护机制的集合,TCB可以保护自己不被TCB之外的软硬件所破坏。
- TPM不属于TCB,可以用来确定系统的TCB是否被破坏TPM位于TCB底层,对TCB有一定的保护作用
基本概念
可信边界: TBB和可信根形成一个可信边界(Trusted Boundaries),**在可信边界内,度量、存储和报告可以实现一个最小的配置。**在复杂的系统中,有必要用CRTM(Core Root of Trust for Measurement、可信度量根的核心)建立其它代码的可信
- 如果CRTM将系统控制权传给了其它代码,而没有考虑度量值是否匹配,那么认为信任边界被扩展了(可信引导的机制);
- 如果CRTM在执行其它代码前,先验证其度量值是否是预期值,那么认为信任边界保持不变。显然,在可信引导情况下,随着信任链的扩展,信任边界也在扩展。
信任边界意思就是你信任事物依据的条件。比如信任网站用的证书,如果不用证书进行验证就信任了,就是信任边界拓宽了。
可信传递: 可信传递(Transitive Trust)是一个过程,可信根建立一个可执行函数的初始可信,然后该函数中的可信用于建立下一个可执行函数的可信。
可信权威: 当度量根(RTM , Root of Trust for Measurement)开始执行CRTM时,能够担保TBB正确性的实体只能是TBB的创建者,即典型的平台制造商。显然,平台制造商是一个有效TBB的权威机构,其信誉直接影响用户是否相信该TBB。
评估可信权威的方法:代码被度量or代码被签名(来源)
- 分离部件
(1)输入/输出(IO) (6)SHA1加速器
(2)非易失性存储器(7)RSA密钥产生器
(3)身份认证密钥(8)RSA加速器
(4)程序代码 (9)选择进入
(5)随机数发生器(10)执行引擎- 通信接口
TCG(可信计算组织)的主要规范中没有特别指定通讯接口类型或总线结构,而是由特定的平台决定的, TCG定义的连续串行传输实际上可以用任何一种总线或连接来实现。- 防篡改(攻击)封装
TCG要求TPM必须进行物理保护以免受攻击。其中包括将TPM的物理模块(可能是多个分离的部件)绑定在平台的物理部件上(如主板),使其不容易被拆解或转移到其他平台上。但能够进行攻击监测,且通过物理检查就可以探测到攻击。
可信平台模块的技术基础
- 公钥密码算法也被称为非对称密码算法。在公钥密码算法中,加密密钥与解密密钥是不同的。用户可以公开其中的一个密钥(称为公钥,Public Key),秘密保存另一个密钥(称为私钥,Private Key)。一个安全的公钥密码算法,攻击者不能从公钥推导出私钥、或者从公钥推导出明文。
- 常见的公钥密码算法有:RSA和Diffie-Hellman
RSA是被研究的最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们所接受。RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价,即RSA的重大缺陷是无法从理论上把握它的保密性能,因为大多数密码学界的研究者倾向于因子分解不是NPC问题。
RSA的主要缺点如下:
1)产生密钥受到素数产生技术的限制,难以做到一次一密。
2)分组长度太大。为保证安全性, n至少也要600 bits以上,使运算代价很高,尤其是速度较慢,相较于对称密码算法慢了几个数量级;而且随着大数分解技术的发展,这个长度还在增加,不利于数据格式的标准化。
基于身份的密码体制
- 在传统的公钥密码体制中,签名者的公钥通常是某个集合上的一串随机比特。
如何才能将签名人的身份与其对应的公钥关联起来?
传统的解决办法是通过一个权威机构(ca)为每一个公钥发行一个所谓的公钥证书这个证书其实是权威机构对用户的公钥及其身份的一个签名,而所谓的权威机构就是通常所指的可信机构或者证书机构。为了满足这一需求,必然需要大量额外的存储空间和计算开销来存储和验证用户的公钥证书。
为了提高公钥密码系统效率, Shamir于1984年首次提出了一种基于身份的密码思想。在基于身份的密码系统中,用户的公钥通常是一些公开的并可以唯一确定的身份信息。通常这些信息被称为用户的身份(如姓名、电话号码、邮箱地址、身份证号等),目的是为了简化密钥的管理。因此,在对密钥的管理有更高要求时,这种基于身份的公钥密码体系优于以数字证书为基础的公钥密码系统。
TPM密钥功能分类
TPM密钥按功能可以分为7类:
- 背书秘钥((Endorsement Key,EK):背书密钥是一个模长为2048-bit的RSA公私钥对。EK不用作数据加密和签名;对于一个TPM而言,EK是唯一的,代表着每一个可信平台的真实身份。
- 身份证明密钥(Attestation ldentity Key,AlK) :替EK来提供平台的证明,可以理解为EK的别名。
- 存储密钥(storage Key) :存储根密钥(SRK)是存储密钥的一个特例,是拥有最高权限的存储密钥。SRK的私钥永久性驻留在TPM内部,从不被导出TPM之外,后续生成的密钥都直接或间接的由该密钥加密保护。
- 签名密钥(Signing Key) :是非对称密钥,用于对应用数据和信息签名。
- 绑定密钥(Binding Key) :用于加密保护TPM外部的任意数据
- 继承密钥(Legacy Key):既可以用于签名也可以用于加密。
- 验证密钥(Authentication Key) :验证密钥用于保护运用TPM完成的传输会话,也可以用来对多个TPM间的传输或者普通PC与装有TPM的可信平台间的远程通信的数据段进行对称加密。
可信平台模块规范
认证
可信平台认证的层次结构,包含如下六种类型的认证:
- 一个外部实体证明一个TPM:担保"其真实性且该TPM是符合TPM2.0规范的”。这种认证采取的形式为︰嵌入在真实TPM内部的一个非对称密钥(EK),以及担保其公钥的一个凭证(EK证书)。
- 一个外部实体证明一个平台:担保"该平台包含一个度量根RTM,一个真实的TPM,以及RTM和TPM之间的一条可信路径"。该认证采取的形式:包含TPM EK公钥等信息的一个凭证。
- 一个外部实体证明TPM的一个非对称密钥对:担保“一个密钥是由一个身份无法确定但真实的TPM所保护,并且该密钥拥有特定的属性",即该密钥来自一个真实的TPM,但无法确定是哪个TPM。担保"一个密钥是由一个身份无法确定但真实的TPM所保护,并且该密钥拥有特定的属性",即该密钥来自一个真实的TPM,但无法确定是哪个TPM。该认证采取的形式:包含该认证密钥对的公钥等信息的一个凭证(CA创建的认证密钥证书)。
- 一个可信平台证明一个非对称密钥对:担保“一个密钥是由一个真实的TPM保护,该密钥拥有特定的属性,不过也无法确定是哪个TPM”。该认证采取的形式:平台TPM生成的一个签名,签名的信息是描述该密钥对的信息,签名的密钥为TPM保护的认证密钥( attestation-key) ,需要加上类型三的认证来担保该认证密钥attestation-key。
- 一个可信平台证明一个度量:担保“一个特定的软件/固件状态存在于一个平台上"。认证采取的形式:对PCR中软件/固件度量值的一个签名,签名使用的密钥是TPM保护的认证密钥attestation-key,需要加上类型三或者类型四中的认证形式来担保这个认证密钥。
- 一个外部实体证明一个软件/固件度量:担保“一个特定的软件/固件状态"。认证采取的形式:一个凭证,可以担保这样的信息(包含一个度量值及其表示的状态)。
认证流程来一张思维导图:
EK(公私钥),认证采用了CA模式,可信第三方CA存有TPM的EK(EK_证书),TPM生成AIK((公私钥),用EK签名AlIK公钥,CA验证 EK(EK证书),再计算AIK公钥,用CA私钥对AIK 公钥签名生成证书,再将证书发放给需要验证的一方。
可信根
可信根也叫信任根,信任根意味着必须无条件相信
通用标准CC (Common Criteria)的EAL等级现在分为7级,等级越高代表该产品的安全越值得信赖。
TCG的TPM规范需要三个信任根:度量根(Root of Trust forMeasurement,RTM)、存储根(Root of Trust for Storage,RTS)和报告根(Root of Trust for Reporting) 。
认证密钥
AK是TPM中的受保护密钥,主要用于签名
1.AK的使用
- TPM生成的消息总以一个特殊的值(称为TPM_GENERATED_VALUE)作为消息头。当TPM对外部提供的消息进行摘要(digest)计算操作时,它首先检查消息的头部,保证其没有TPM_GENERATED_VALUE这样的值;
- 摘要计算完成后,TPM会生成一个票据(ticket) ,指示该消息并不是以TPM_GENERATED_VALUE开头。
- 当一个认证密钥AK用于对摘要值进行签名时,调用者(caller)需要提供票据ticket,这样TPM就可以确定用来生成该摘要值的消息并不是伪造的TPM认证数据
注意,票据ticket中的摘要值必须与AK签名的摘要值一致。
2.身份证明
- 任何能使用TPM创建密钥的用户都可以创建一个受限的签名密钥(通常为AK) 。
- 密钥创建者可以要求一个可信第三方,如认证CA (Attestation CA) ,为该密钥提供一个证书。认证CA可以向调用者请求一些关于该密钥的证据,即证据可以表明正在被认证的密钥确实来自TPM。
- 要证明该AK确实来自TPM,需要使用同一个TPM上已经被证明过的一个其它密钥(该密钥证书之前已经生成)。通常EK证书或者平台证书可以提供这个证据。
- 如果一个被证明的密钥可以签名(如AK),那么其可以用于证明位于同一个TPM上的其它对象。这使得新生成的AK可以与一个已经被证明的密钥进行关联(TPM2_Certify) 。
- 如果被证明的密钥是一个解密密钥,无法签名(如EK),那需要使用另外的方法来使得新的密钥或者数据对象能被证明是可靠的。
若被证明的密钥是一个解密密钥的证明方法:
被证明对象的身份以及解密密钥(如一个EK)的证书被提供给CA。根据解密密钥的证书,CA可以确定解密密钥的公钥,然后CA为要被证明的对象生成一个条件证书。
条件证书是指对证书执行了某个操作(如对称加密)。
这个过程生成一个证书限定符(credential qualifier),该限定符需要发送给TPM(包含解密密钥和正在被认证密钥的TPM)。通用的证书限定符是加密证书的一个对称密钥,证书限定符需要被保护。保护方法会生成一个加密的blob (binary large object,二进制大对象)、一个针对该blob的HMAC (Hash-based Message Authentication Code,哈希消息认证码)以及一个秘密值(只有解密密钥能恢复的秘密值)。TPM恢复秘密值,再用该值去生成能够解密和验证HMAC以及BLOB的密钥。
保护区域
- 当TPM内部对象的敏感部分不位于TPM的屏蔽区域时都是被加密的。这种加密无法防止被删除,但是可以防止泄露敏感部分的信息,不管存储在哪,其都是位于一个保护区域内。
- 长久保护存储的对象需要加载到TPM中使用,创建对象的应用管理把这些长久存储状态的对象转移到TPM中。由于TPM存储空间受限,不可能同时存下所有应用需要的所有对象。因此,TPM支持对象上下文环境的交换。
- 保护区域的加密使用了TPM内部的多个种子和密钥,这些种子和密钥不能离开TPM存在。
环境密钥:是一个对称加密密钥,用于加密需要临时移出TPM的数据,这样节省TPM空间,可以用来加载其他对象的工作集
主种子:它是各种存储体系的根,保护各种应用持有的对象。一个主种子是一个随机数
完整性度量报告
- 完整性度量(lntegrity Measurement) :是信任链构建的过程,用杂凑函数计算代码的杂凑值,与存储的杂凑值对比,去发现代码是否改变,根据比对结果,系统做出相应的判断。
- 完整性报告(Integrity Reporting) :是向远程方证明记录在PCR中完整性度量值的过程。完整性度量、日志和报告背后的原理是,一个平台可以进入任何可能的状态(甚至包含不良或者不安全的状态),但是需要对这些状态进行精确地报告。一个独立的过程可以用来评估完整性状态,并且确定一个合适的响应。
完整性度量值可以代表平台可信状态任何可能的改变。度量的对象可以是任何有意义的东西,不过通常是“一个数据值、代码、数据的哈希值、对某个代码或数据的签名者的一个标识”。
完整性度量:静态代码度量;动态运行度量->软件测试。.可信度量根核:是度量的起点,生成度量日志
静态度量根:系统重启的信任链重建.(加电)
动态度量根:非系统重启的信任链重建.(软件)
信任链构建技术
- 可信计算具有度量、存储和报告三大基本功能。其中度量功能又是上述三大功能的基础。实现度量功能的关键理论和技术是可信计算组织TCG(Trusted Computing Group)所定义的信任链。因此,信任链在可信计算中具有核心基础地位。信任链的建立与传递涉及到三个基本概念,一是可信根;二是可信传递;三是可信度量。
1.可信根
- 可信根是系统可信的锚节点(Anchor Node),从可信根开始,通过完整性度量和完整性存储技术对代码的可信赖性进行度量和记录,实现信任的链式传递,并最终从信任根扩大到整个系统。之后,利用完整性报告技术实现信任从终端到网络的传递。
- 可信根是高可信计算机的信任节点,是信任链的核心,也是所有系统行为完整性的测量基础,其自身的安全性和高性能是整个信任链可信的基础。
- 可信计算组织TCG认为一个可信计算平台必须包含3个信任根(分别对应可信计算的三大基本功能):可信测量根RTM (root of trust for
measurement)、可信存储根RTS (root of trust for storage)和可信报告根RTR (root of trust for reporting)。
- 可信测量根RTM是一个用于生成固有的可依赖的完整性度量值的计算部件, 它可以测量任何用户定义的平台配置。RTM通常对应被称为可信度量根核CRTM的一段代码。在平台启动后,主板上的启动代码CRTM是最先执行的、不会变化且可以修改的,所以它是一段可信的代码。随着平台的启动,启动代码通过一种“递归信任"的过程将信任扩展到整个平台。
- 可信存储根RTS是完成所有密钥的管理功能,包括密钥管理、密钥产生、加密和解密。RTS保护数据和密钥,并且这些数据和密钥都是委托给可信平台模块TPM (Trusted Platform Module)的。
- 可信报告根RTR允许受TPM保护的区域中的数据可以被验证通过的需求者获取,这些数据包括非易失内存和平台配置寄存器(PCR)。其中PCR不仅记录数据被保存的次序,而且还要保存数据。并且这些数据的真实性还需要RTR用签名密钥签名证实。
2.可信传递
所谓可信传递,就是可信根确定其下一级功能的可信度。如果下一级通过认证是可信的,则可信范围就从可信根扩大到下一级功能。通过可信传递,可以实现系统可信范围的延伸。
可信度量
可信度量就是对代码程序及其相关配置信息进行完整性验证。可信度量是可信计算的基础。
- 可信度量过程的完整性认证分为两个方面:
- 完整性基准值的建立。信任链建立过程可分为:
①获得可信认证中各个阶段的认证基准值;
②把这些基准值存储到安全存储区域中;
③为了保证计算机系统启动时的完整性和可信性,在启动过程中如果某些关键文件或软件信息发生更改,需要重新计算可信认证中各阶段的完整性基准值。- 这一过程发生在系统引导阶段,即从终端加电到操作系统装载;这一阶段BlOS、操作系统装载器以及操作系统顺序比较固定,是一个单一链式过程,这一过程的可信度量被称为静态可信度量。
- 完整性认证,实现信任传递的过程。完整性认证过程是通过对实体认证计算结果和生成的完整性基准值相比较达到的。如果认证失败,说明被认证的实体对象被修改过,而且这种修改没有得到授权,因为得到授权的修改会重新计算完整性基准值。如果认证成功,说明被认证实体完整,没有被篡改,因此可认为该实体可信,可以将信任安全的传递到下一级。这一过程的可信度量称为动态可信度量。
- 完整性基准值的建立。信任链建立过程可分为:
信任链的技术基础
信任链理论基础
信任链理论模型
- 信任链传递的“层次理论模型”。信任传递从可信根到OS具有更一性和顺序性,只要保证了信任根的物理安全、信任传递过程中的时间隔离性和空间隔离性,建立信任链的"层次理论模型”,应该是相对容易的。
- 在可信终端信任链的传递理论方面,提出了从可信根到OS启动的可信保证策略。即在最终的运行实体L和L初始的硬件平台L,L…Lp-.之间划分若干层次,使L通过L]…Lz,L层最终能在L上运行。每一层又由若干模块组成,各层之间只有单向的依赖关系,即高层依赖于低层而低层不依赖于高层。按照这种层次式结构的理想状态,如果L。层是可信的,并且保证低层在将控制权传递给高层前,对高层的可信度进行检查和确认,则信任也是逐层传递的。如果层与层之间只要保持静态隔离、动态隔离和时间隔离关系,那么信任传递的层次模型就是可以验证的。
软件的动态可信度量理论。
- 对软件的动态可信度量理论的研究,首先要研究动态测量的软件结构模型和指标体系,以及和软件多维可信属性之间的关系。第二要研究适合该结构模型的编译环境。最后还要研究适合该结构模型的内存分配机制和代码加载机制。
基于传递和非传递的无干扰信任模型
- NTCM模型(Nonlnterference-based TrustedChain Model)以Rushby无干扰模型中的输出隔离性质和单步隔离性质为基础,描述了可信进程、可信状态和可信传递性质,将Rushby无干扰模型的域映射到进程。
- NITM模型(NonInterference Trusted Model)则强调了进程间切换时可信验证的重要性,通过Rushby的状态机模型对操作完整性和系统完整性传递进行了严格定义,与NTCM模型在本质上是相同的,都是从传递无干扰的角度给出了系统M运行可信的条件。Rushby曾指出:传递无干扰只是非传递无干扰的一个特例。基于传递无干扰的信任链理论在实际使用中是受限的。
- 基于可组合安全理论的信任模型
- 信任链组合系统不应出现直接或间接的信息泄露。要获得一个组合安全系统的构成需要对组合算子进行扩展,以便将两个系统通过并行方式进行语义操作,并同步内部互补动作。
信任链构建分类
- 静态信任链(单向,不可回溯)
- 在终端PC上,通过可信认证进行信任传递包括两个过程:一个是从终端加电至操作系统装载的静态可信认证,这种方式构建的是静态可信链;对应的另外一个是从操作系统至应用程序的动态可信认证,这种方式构建的是动态可信链。
- 静态信任链是指从平台加电启动开始构建,以可信度量根核心CRTM(core root of trust for measurement)为可信根,经过BIOS、
BootLoader、操作系统、应用程序等将可信性传递到整个系统的信任链机制。 - 最初的TPM 1.1规范只支持静态信任链。TPM 1.1版的芯片共有16个配置信息寄存器(PCR),这些PCR不仅具有安全存储的特性, 而且只有在加电启动时才会被初始化为0,其他任何时候都不能被重置。这就满足了静态信任链不能重建和回溯的特性,因此又被叫做“静态"PCR。如下所示为PCR用法定义。
- 由于静态信任链不能重置和回溯,在其链状的调用关系中,前面的所有程序都是后面程序可信的可信计算基TCB (Trusted Computing Base)。如果任意程序不可信,整个平台都处于不可信状态。
不仅如此,静态信任链有两个公认的缺点:
①只能保证加载时软件的完整性,无法保证运行时的完整性,无法抵御运行时攻击。
②软件数量巨大并且具有不同的版本,需要巨大的特征数据库支持。
- 动态信任链
- 动态信任链不依赖物理平台的重新启动就可以重置信任链,先创造一个由硬件保证的可信环境,再启动目标操作系统。主要是通过强化的内存隔离机制,创造一个相对独立的执行环境,外部的不可信因素无法访问。