我有一个关于这个问题的后续问题:How to encrypt bytes using the TPM (Trusted Platform Module)
我将 Windows 10 用于嵌入式解决方案。我想使用 TPM 来存储签名密钥并执行签名。但是,我不想中断 Windows 使用 TPM 进行安全启动的能力……因此,我对获得 TPM 的所有权犹豫不决。我玩过 TSS.NET 代码示例,并让 TPM 使用空白 AuthValue 对数据进行签名(使用真正的 TPM,而不是模拟器)。但我不确定这里有什么限制。TSS.NET 示例代码有注释:
如果在 Windows 提供的真实 TPM 上运行,则此值将不同。管理员可以从注册表中检索所有者授权值。
所以我的问题分为两部分:
- 配置时,我是否更正不建议更改 TPM 所有者密码?
- 是否可以在代码中获取密码?
- 如果我在部署设备时没有所有者授权,我可以安装签名密钥吗?
- 如果在运行时没有所有者授权,我可以使用 TPM 进行签名吗?