问题标签 [trusted-computing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
windows - 使用 TPM 在 Windows 上签名而不取得所有权
我有一个关于这个问题的后续问题:How to encrypt bytes using the TPM (Trusted Platform Module)
我将 Windows 10 用于嵌入式解决方案。我想使用 TPM 来存储签名密钥并执行签名。但是,我不想中断 Windows 使用 TPM 进行安全启动的能力……因此,我对获得 TPM 的所有权犹豫不决。我玩过 TSS.NET 代码示例,并让 TPM 使用空白 AuthValue 对数据进行签名(使用真正的 TPM,而不是模拟器)。但我不确定这里有什么限制。TSS.NET 示例代码有注释:
如果在 Windows 提供的真实 TPM 上运行,则此值将不同。管理员可以从注册表中检索所有者授权值。
所以我的问题分为两部分:
- 配置时,我是否更正不建议更改 TPM 所有者密码?
- 是否可以在代码中获取密码?
- 如果我在部署设备时没有所有者授权,我可以安装签名密钥吗?
- 如果在运行时没有所有者授权,我可以使用 TPM 进行签名吗?
android - 可信执行环境 (TEE) 中的客户端应用程序和可信应用程序
我是 TEE(可信执行环境)的新手。有人可以帮助我解决一些基本的疑问吗?
AFAIK,每个 Android 移动设备都安装了一个单独的 TEE 操作系统以及一些预定义的 TA(受信任的应用程序)来存储指纹图像、密码、密钥对等秘密信息。
如何识别安卓手机上运行的TEE OS?是否有可能在一台设备中出现多个 TEE,例如 Trusty(来自 Google)、Kinibi(来自 Trustonic)等?
由于 Trusty 来自 Google,所有设备是否都默认具有 Trust OS?
如何列出 TEE 中现有的 TA 应用程序?如果是这样,我们可以使用 CA(使用来自谷歌的 Trusty API 的客户端应用程序)从手机连接到现有的 TA吗?
security - 英特尔 SGX 开发人员许可和开源软件
是否有可能获得许可开发人员证书,以在生产模式下签署经过安全审查、社区开发的开源 SGX 软件二进制文件,并将其发布在 apt 或 rpm 等开源存储库上?
我刚刚问过英特尔 SGX 团队,他们说只有经过验证的供应商才能获得证书并在生产模式下运行。就像苹果的 App Store 一样,不允许开源代码,对吧?
debian - 在没有所有者密码的情况下清除 TPM
我想使用 BeagleBone Black 并通过CryptoCape启用 TPM 。
由于 TPM 的合规模式,我正在以一种可以清除 TPM 的方式学习本教程。
当我运行时,tpm_clear -l debug我会提示输入所有者密码,我不知道。这样,我收到一条身份验证失败消息,但我没有成功。
有没有人知道如何在没有所有者密码的情况下执行此操作?
cloud - TPM 如何为云提供安全性?
TPM 的主要范围是确保平台的完整性。在这种情况下,“诚信”意味着“按预期行事”。~维基
我正在了解有关 TPM 如何执行完整性的更多信息,包括信任根、信任链、PCR 测量、远程证明等方面。
另一方面,云提供商需要执行严格的安全策略,需要额外信任客户端。为了提高消费者和云提供商之间的相互信任,TPM 如何与云中的安全相关并适用?
encryption - 在 TPM 中打开密封对象时会发生什么情况?
当我在 TPM 中解封一段密封的数据时会发生什么?密封的数据还存在吗?
例如,我有一个密封数据的句柄hSealedData,我连续做TPM_Unseal(hSealedData,...)了两次。两个调用会返回相同的未密封数据吗?
我找不到有关此的文档。
encryption - 我可以在没有操作系统的情况下使用 TSS 来使用 TPM 吗?
我的目标是在操作系统加载之前编写使用 TPM 功能的代码。TSS可以做到这一点吗?如果不是,那么将 TPM 函数包装到一个好的 API 中的库还有哪些其他替代方案。我看到在trustedGrub 中他们使用内存映射io 作为TPM 接口,这就是我要避免的。另外,如果我使用的是 UEFI 而不是 BIOS,它是否为我提供了更舒适的界面来使用 TPM?
intel - 如何从英特尔 SGX Enclave 获取报价
最近,我在英特尔 SGX Enclave 的帮助下开发了一个可信计算项目。
要验证 Enclave,我需要由 Quoting-Enclave 生成的 Quote。我知道它在理论上是如何工作的以及如何启动一个 Enclave。但是我找不到任何代码示例或有关如何接收 Enclave 的报价并将其发送到调用程序的详细说明。
有人可以通过一个例子向我解释一下吗?
谢谢!
security - 在客户端-服务器架构中使用英特尔 SGX 远程认证
假设以下场景:我们想要实现一个开源密码管理器,它使用一个中央服务,使不同的客户端(在不同的设备上)能够同步他们的本地数据库。该服务是由公司运行还是在用户的服务器上运行都没有关系(与 owncloud 使用场景相比)。为了使我们的应用程序更加“安全”,我们希望将英特尔 SGX 飞地用于中央服务(请忽略当前对 SGX 飞地的攻击研究)。
然后,典型的工作流程是:
- 本地客户证明中央飞地
- 用户注册/登录
- (本地和远程数据库同步)
- 用户存储/检索密码
现在我的问题是:我们密码管理器的每个用户都需要注册英特尔认证服务 (IAS) 吗?如果是,这是否意味着,由于私钥共享非常糟糕,每台设备都需要注册?
根据我的调查,至少在开发和测试阶段,答案是肯定的。我找不到任何生产场景的公开信息。我所知道的是,商业注册会改变飞地的行为(它可以在生产模式下运行),这在这里无关紧要。对此我有两个想法:
- 如果我是对的,这难道不是新交所的另一个表演障碍吗?在没有证明功能的情况下使用 SGX 似乎毫无用处。
- https://www.fortanix.com/等服务如何规避或解决问题?他们的文档没有提示与英特尔进行必要的交互。
上述场景只是一个例子;它可以改进,我们不打算实施它。但是,描述一个场景比描述我们当前的项目计划要容易得多,这很容易想象,并且似乎是 SGX 的一个现实用例。
PS:这个问题是英特尔 SGX 开发人员许可和开源软件的连续问题
tpm - TPM:PCR_Event VS PCR_Extend
TCG 的“可信平台模块库规范”指出,PCR_Event 和 PCR_Extend 命令最终都会导致对指示的 PCR(及其库)的更新。除此之外,我们知道 PCR 只能重置或扩展。那么两者有什么区别呢?