我读到 TPM 会测量所有关键组件,并在启动时将它们的哈希值写入其 PCR 寄存器。
TPM 是否也在运行时或这些组件运行期间进行测量?
问问题
80 次
1 回答
1
TPM 本身根本不进行任何测量。也不在启动时。这是一个启用信任的代码可以以防篡改方式存储测量值的地方。
在引导期间,固件(BIOS、UEFI)会进行测量并存储在 TPM 中。可以通过在固件完成后进行额外测量的方式配置您的系统。就像一个受信任的引导加载程序。
如果您有兴趣将信任链进一步扩展到每一个已执行的代码,那么像 IBM 的Integrity Measurement Architecture这样的项目值得一看。但是,我认为这些测量毫无意义。你用这些做什么?很少有任何情况下您可以实际验证某个测量链是否可信。
您还可以编写自己的软件来存储任何给定时间的测量值,或者使用jTSS、TrouSerS或IBM 的 libtpm 工具等工具。
于 2016-01-13T23:04:01.307 回答