TPM(Trusted Platform Module)是一种小芯片,被定位为提供密钥安全存储、密码学协处理、系统状态度量的功能。它由TCG(Trusted Computing Group)制定规范,可以从其下载相关规范。
TPM规范定义了一个硬件的根信任,相比软件更加安全。TPM的功能需要通过软件来使用,有一些开源的API实现。TPM可以提供完整性度量、健康检查和认证服务。
那么,TPM具体能做什么呢?它可以进行批量对称加密(但可能受出口法限制),提供高质量的随机数生成器,进行密码学服务,保护内部存储空间,保存少量数据,并提供多种认证方式来访问受保护的密钥和数据。它还可以进行数字签名和认证,对密钥和数据进行签名,审计密钥和数据的使用情况,报告平台状态,并使用平台状态来授权访问密钥和数据。
TPM有多种实现方式,如独立的TPM、集成的TPM、固件TPM和软件TPM。其中,独立的TPM安全性最高,而软件TPM主要用于测试和开发阶段。
在应用场景方面,典型的应用场景包括关键系统、网关等。根据不同的版本和规范,TPM还有不同的特性和使用场景,如TPM 2.0引入了许多新的特性,如算法灵活性、增强的授权、快速密钥加载等。而vTPM则适用于云环境。
对于TPM的模拟实现,需要借助swtpm工具进行编译。编译qemu以支持TPM模拟器。在配置虚机XML时,可以通过添加TPM设备模型来启用TPM功能。启动虚机后,需要安装TPM协议栈和工具以使用TPM功能。
协议栈和工具的安装要注意版本匹配问题。常见的协议栈和工具包括tpm2-abrmd、tpm2-tss和tpm2-tools。安装成功后,可以通过执行tpm2_pcrlist命令来验证安装是否成功。
TPM的实现层级包括应用层、协议栈层和底层接口层。在应用开发中,根据需求选择合适的接口层进行开发,依据TPM规范进行实现。
