问题标签 [tpm]

我已经根据 Trusted Computing Group 的规范实施了 TSS 版本 1.2 直接匿名证明，其中包括匿名撤销。已经有论文讨论了腐败管理员之间的隐私缺陷，但似乎只有在基本名称不是随机的情况下才会出现问题 - 也就是说，如果它们被命名。我使用随机的基本名称，无论如何我都喜欢这个想法，因为它增强了隐私。随机基本名称对于不可链接的应用程序很有用，例如匿名 Web 浏览（请参阅“直接匿名证明：增强云服务用户隐私。” - 引用它的站点以发现与链接基本名称有关的缺陷）。多年来的文献一直模棱两可。我向 TPM 1.2 DAA 方案的算法设计者之一发送了电子邮件，但他没有回复。我' 我想知道是否有人有答案。我正在推迟部署这个我花了很多时间的实现，直到我能得到关于 1.2 规范的匿名撤销功能是否有用的答案。提前致谢。

我正在查看 SGX 的文档，但找不到任何关于如何访问 TPM 内容的描述。根据他们的说法，这应该是可能的！？有没有人有这方面的经验？

我正在没有 TPM 的 Windows 10 笔记本电脑上实施 Bitlocker。有人说 Bitlocker 默认以明文形式在 AD 中存储密钥 - 这是真的吗？

1）您好我想知道是否可以使用虚拟智能卡来存储我正在设计的应用程序的 RSA 密钥对。到目前为止，我只能找到有关登录方面的文档，但找不到仅适用于标准智能卡加密存储的文档。我尝试将旧版 CSPParameters 用于智能卡，但无济于事。下面的代码将执行，但操作系统将声明虚拟智能卡对此操作无效。

RSACryptoServiceProvider rsaCsp = (new RSACryptoServiceProvider(4096,csp) { PersistKeyInCsp = true });

TestCard 的命令行测试：

2）如果可能的话，用户密码是否可以公开并且不可导出的密钥仍然不可导出？

我正在构建一个应用程序，可以通过 PKCS#11 与 tpm 芯片交互，生成私钥（存储在 tpm 中），根据私钥导入证书，签署数据，......我想像 hsm 一样使用 tpm 芯片。所以，有人可以帮助我！PKCS#11 驱动程序的名称可以帮助我与 tpm 交互吗？或者我必须做什么来制作 PKCS#11 驱动程序？我已经在 Centos 6.5 上构建了 OpenCryptoki 和 Trousers，但是构建成功后我不知道 OpenCrptoki 或 Trousers 中的文件是 PKCS11 驱动程序！谢谢！

我正在使用 TrouSerS 库。我想编写一个应用程序来绑定 AES 密钥并将这个有界密钥放入文件中，第二个应用程序将从文件中解密这个密钥。

这是我的代码：

它正在执行，没有任何错误。

在这里我得到“0x00000021。解密错误。” 在 Tspi_Data_Unbind 函数之后。

请问你能帮帮我吗？

我正在尝试为 TPM 生成 CSR，以便将其发送到 CA。我遇到了一些困难，因为 CSR 需要使用存储在 TPM 中的私钥进行签名，而我偶然发现的大多数 CSR 生成代码都不知道如何使用 TPM。

我想到的解决方案是自己创建 CSR（使用 c#）并使用常规 TPM 命令对其进行签名，但我似乎无法找到如何在不使用外部源的情况下从头开始构建 CSR。

欢迎对此事提出任何意见或建议。谢谢

我正在使用完整性测量架构 (IMA) ( https://sourceforge.net/p/linux-ima/wiki/Home/ ) 并且我正在尝试用 Java 编写他们已经在 C 中完成并在上面的链接页面。

从测量列表开始：

PCR-00: 07274edf7147abda49200100fd668ce2c3a374d7

PCR-01：48dff4fbf3a34d56a08dfc1504a3a9d707678ff7

PCR-02：53de584dcef03f6a7dac1a240a835893896f218d

PCR-03：3a3f780f11a4b49969fcaa80cd6e3957c33b2275

PCR-04：acb44e9dd4594d3f121df2848f572e4d891f0574

PCR-05：df72e880e68a2b52e6b6738bb4244b932e0f1c76

PCR-06: 585e579e48997fee8efd20830c6a841eb353c628

PCR-07：3a3f780f11a4b49969fcaa80cd6e3957c33b2275

我需要计算所有这些测量值的总和。执行此操作的 C 代码是：

使用此代码的结果是：b5a166c10d153b7cc3e5b4f1eab1f71672b7c524

我写了这个java行来做到这一点：

但我得到的是“EA3487AC70DC445A2E608ED44DC550366F2C6716”而不是预期的结果：“b5a166c10d153b7cc3e5b4f1eab1f71672b7c524”。有什么建议吗？

有没有办法从代码中检测字典攻击重置已尝试，但 lockoutAuth 值错误？

我可以通过检查 failedTries == maxTries 来检测 TPM 处于锁定状态。我似乎无法找到一种方法来知道重置失败并且 TPM 由于不正确的 lockoutAuth 值而处于锁定状态。

我知道我可以尝试 DA 保护操作并观察 TPM_RC_LOCKOUT 返回，但我想知道是否有办法不尝试操作。

我在 UEFI 环境中，这不是那么重要，但我应该提一下。

问候

本

以下情况：我们的网关有一个 TPM，我们将为它提供每个设备的证书（由我们的 PKI 颁发）。IoT 中心身份验证如何工作？据我所知，需要向 IoT Hub 注册主证书和辅助证书的指纹，这没问题。稍后我们想使用主证书通过 IoT 中心对设备进行身份验证。根据这个项目的源代码，一个应该提供证书的私钥

这是我想避免的。我不希望私钥在内存 (RAM) 中。是否可以散列/加密并将结果用于身份验证？它将如何运作？

我们将使用 Windows 10 IoT Enterprise 或 Linux（不是 Windows 10 IoT Core）

编辑：这里https://github.com/ms-iot/security/blob/master/Limpet/Limpet.NET/Limpet.cs是用于根据设备的主要创建 SAS 令牌签名的方法 (SignHmac)直接键入 TPM (2.0)。我需要与证书类似的东西。