在读《可信计算–理论与实践》时,一大堆各种英文简写,很快就看晕了,于是在此整理一下。 TCG:Trusted Computing Group:可信计算组织 TPM:Trusted Platform Module:可信平台模块 TCM:Trusted Cryptography Module:可新密码模块 MTM: Mobile Trusted Module:移动可信模块 DAA:直接匿名功能。 DMA:Direct Memory Access,直接存储器访问 PCA:Privacy Certificate Authority隐私签证机构.
TPM密钥管理
TPM可以提供以下种密钥: 身份密钥(identity key):标示TPM和计算平台身份的密钥 绑定密钥(binding key):用于数据的加密和解密 签名密钥(signing key):用于对用户选定的数据进行签名 存储密钥(storage key):用于保护其他密钥,或将数据封装于计算平台之上 遗留密钥(legacy key):同事兼具绑定和签名密钥的特性。一般不推荐使用 迁移密钥(migrate key):当TPM充当迁移权威时,专用于保护被迁移密钥的特殊密钥类型。ps:此类密钥与可迁移类密钥不是同一概念。 SRK:存储根密钥:在存储保护对象体系中处于根节点位置。存储在TPM内部,永远不在TPM外部使用。
密钥迁移时
被迁移的密钥为 MK,用来保护被迁移的密钥的公钥为PK MA(migration authority):迁移权威,第三方,用来代管密钥。
身份标示
TCG为TPM设计了两种不同的身份密钥: EK:背书密钥:只参与少数必要操作,一般不更新。采用rsa算法生成一对密钥,EK的私钥永久储存在TPM内部(只有EK,SRK这两个是这样) Endorsement,背书,担保 AIK:平台身份密钥:用于频繁的签名操作 PCR:平台配置寄存器,用来安全存储度量结果,长度为160b,与sha-1算法的输出长度保持一致。规范规定TPM至少提供16个PCR,最多230个。 ML:measurement log/list,度量日志/列表
TCM密钥
密码模块密钥:相当于TPM的EK,用于唯一标示安全芯片及其所在计算平台的身份。 PIK:平台身份密钥,相当于TPM的证明身份密钥,均用于对完整性值和其他密钥的数字签名。 PEK:平台加密密钥。
信任根
可信度量根:RTM:Root of Trust for Measurement 可信存储根:RTS 可信报告根:RTR 可信度量根分为静态和动态两种,分别是SRTM和DRTM。 SRTM:静态可信度量根 DRTM:动态可信度量根 CRTM:可信度量根的核心
DRTM有两种技术,分别是AMD和Intel的安全虚拟机(SVM)架构和TXT(Trusted Execution Technology) SLB:是SVM架构中用于存放隔离环境要执行的代码块,大小为64KB。 SINIT AC模块是TXT技术中用于检查硬件配置的模块。 MLE是在建立的隔离环境中运行的代码,其与SINIT AC模块都需要在隔离环境建立前载入内存。
可信存储根 密钥缓存管理KCM模块。
others
TCB:可信计算基。 存储度量日志SML,用来保存静态信任链建立过程中的软件列表 TPL:Initial Program Loader 初始程序加载 VMM:virtual machine monitor IMA:Integrity Measurement Architecture,一种完整性度量的架构,04年由IBM公司提出。 完整性挑战协议?
欢迎与我分享你的看法。 转载请注明出处:http://taowusheng.cn/