让我们迈出第一步,当 CRTM 测量 Bios 时,它将散列值扩展到位于 TPM 中的 PCR。在将控制权传递给 bios 之前,它必须验证哈希值。我的问题是有代理(第三方)进行此验证吗?或者 PCRs 有一个默认集,所以每次扩展哈希值时,这些值必须对应于 PCR 默认哈希值,然后才能将控制权传递给 bios?
user6244639
问问题
335 次
2 回答
0
这取决于。在某些实现中,CRTM 是 BIOS 的一部分,因此您必须隐式信任要加载的 BIOS 的第一个引导块,然后验证 BIOS 的其余部分。在其他实现中,例如使用Intel 的 AMT,CPU 独立测量 BIOS。
于 2018-06-04T10:28:22.833 回答
0
您问的是所谓的“黄金测量”或“基线测量”的 PCR 值,可以由平台制造商(如 DELL)或平台管理员(如您的部门 IT)进行。这些值被保存并由 TPM 用于验证。这是“供应过程”的一部分。
请查看《TCG TPM v2.0 Provisioning Guidance》一书的第 10 节和第 11 节。
于 2020-04-06T01:13:12.997 回答