问题标签 [tpm]

在 TPM 中，我可以生成将存储在芯片上的 SRK（存储根密钥）。此密钥将用于包装和保护其他密钥（未存储在 TPM 上）。

假设我在密钥生成过程中不信任芯片，有没有办法将我自己的 SRK 放入 TPM 中？包装的钥匙有同样的问题吗？

有命令 TPM_CC_Import 和 TPM_CC_Load，但第一个似乎只能导入对称键（我想导入非对称键），第二个似乎只能加载由 TPM 创建的对象。

有人有任何想法或想法可以帮助我吗？

我想使用 BeagleBone Black 并通过CryptoCape启用 TPM 。

由于 TPM 的合规模式，我正在以一种可以清除 TPM 的方式学习本教程。

当我运行时，tpm_clear -l debug我会提示输入所有者密码，我不知道。这样，我收到一条身份验证失败消息，但我没有成功。

有没有人知道如何在没有所有者密码的情况下执行此操作？

我正在使用 TPM 开展一个项目，并试图弄清楚 AIK 是否可用于解密任何文本块？

我能够了解 AIK 的注册情况，现在正尝试将其用于身份验证。为此，我的计划是发送一段用 AIK 公钥加密的文本，并要求平台为我解密。

起初，我想到了一种替代方法，让 AIK 为我签署一个文本块，但看起来 AIK 只能用于签署 PCR。

我在 Ubuntu 17.10 上发现了 tpm2.0 芯片。我在 1.1.0 版中使用 tpm2-tools 包。（我的笔记本电脑上有物理芯片）。但是，当我尝试清除芯片时出现错误。

我也启动了 tpmtest 并且几乎没有错误。

我在 tpmclient 中也有一个失败的测试。

我检查了resourcemgr 服务是否已很好地激活。我在 tpm 上尝试了一些基本命令（tpm2_create、tpm2_load、tpm2_rsaencrypt、tpm2_sign 等），它们都起作用了。

这是 tpm2_rc_decode 的输出：

我是 tpm 技术的新手，所以我想知道这些错误是来自 tpm 本身还是来自 tpm2-tools 包。谢谢您的帮助 ！

TPM 的主要范围是确保平台的完整性。在这种情况下，“诚信”意味着“按预期行事”。~维基

我正在了解有关 TPM 如何执行完整性的更多信息，包括信任根、信任链、PCR 测量、远程证明等方面。

另一方面，云提供商需要执行严格的安全策略，需要额外信任客户端。为了提高消费者和云提供商之间的相互信任，TPM 如何与云中的安全相关并适用？

tpm_getpubek 的输出格式为： http ://trousers.sourceforge.net/man/tpm_getpubek.8.html

1）我很难理解如何使用它。我正在尝试通过代码将其转换为 java PublicKey 对象：

但这会返回以下错误：

让我们迈出第一步，当 CRTM 测量 Bios 时，它将散列值扩展到位于 TPM 中的 PCR。在将控制权传递给 bios 之前，它必须验证哈希值。我的问题是有代理（第三方）进行此验证吗？或者 PCRs 有一个默认集，所以每次扩展哈希值时，这些值必须对应于 PCR 默认哈希值，然后才能将控制权传递给 bios？

当我在 TPM 中解封一段密封的数据时会发生什么？密封的数据还存在吗？

例如，我有一个密封数据的句柄hSealedData，我连续做TPM_Unseal(hSealedData,...)了两次。两个调用会返回相同的未密封数据吗？

我找不到有关此的文档。

我的目标是在操作系统加载之前编写使用 TPM 功能的代码。TSS可以做到这一点吗？如果不是，那么将 TPM 函数包装到一个好的 API 中的库还有哪些其他替代方案。我看到在trustedGrub 中他们使用内存映射io 作为TPM 接口，这就是我要避免的。另外，如果我使用的是 UEFI 而不是 BIOS，它是否为我提供了更舒适的界面来使用 TPM？

I am trying to setup an encrypted drive using the TPM2.0 module on a NUC7i5 on a new installation of Ubuntu server 18.04.

I compiled from sources and installed tpm2-tss (1.3.0), tpm2-abrmd (1.2.0) and tpm2-tools (3.0.2), and I tested some of the tpm2_* utilities and they seem to work. I also installed clevis v10.

I generated a secret using tpm2_getrandom 32 -o secret.key, and then tried to encrypt the secret using the TPM using the following command:

When I do that however, I get the following error:

When checking the status of the tpm2-abrmd service (systemctl status tpm2-abrmd.service), I get this error:

I tried different options for the clevis encryption, tried different ways to generate the secret, but I still can't figure out what the issue is.

The TPM module is a SLB9665 from Infineon Technologies.

I tried with and without taking ownership of the TPM, and always with a clear TPM every time.

Has anyone ran into that issue?