神马文学网信任平台模块-电子技术- 科技中国——欢迎光临全球最大的互联网博物馆 -全球第一互联网博物...
来源:百度文库 编辑:神马文学网 时间:2024/06/13 11:37:38
TPM标准:1999年10月,多家IT巨头联合发起成立可信赖运算平台联盟(Trusted Computing Platform Alliance,TCPA),初期加入者有康柏 、HP 、IBM、Intel、微软等,该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。2003年3月,TCPA增加了诺基亚 、索尼等厂家的加入,并改组为可信赖计算组织(Trusted Computing Group,TCG),希望从跨平台和操作环境的硬件和软件两方面,制定可信赖电脑相关标准和规范。并在并提出了TPM规范,目前最新版本为1.2。
符合TPM的芯片首先必须具有产生加解密密匙的功能,此外还必须能够进行高速的资料加密和解密,以及充当保护BIOS和操作系统不被修改的辅助处理器。TPM安全芯片用途十分广泛,配合专用软件可以实现以下用途:
1、存储、管理BIOS开机密码以及硬盘 密码。以往这些事务都是由BIOS做的,玩过的朋友可能也知道,忘记了密码只要取下BIOS电池,给BIOS放电就清除密码了。如今这些密钥实际上是存储在固化在芯片的存储单元中,即便是掉电其信息亦不会丢失。相比于BIOS管理密码,TPM安全芯片的安全性要大为提高。
2、TPM安全芯片可以进行范围较广的加密。TPM安全芯片除了能进行传统的开机加密以及对硬盘进行加密外,还能对系统登录、应用软件登录进行加密。比如目前咱们常用的MSN、QQ、网游以及网上银行的登录信息和密码,都可以通过TPM加密后再进行传输,这样就不用担心信息和密码被人窃龋
3、加密硬盘的任意分区。我们可以加密本本上的任意一个硬盘分区,您可以将一些敏感的文件放入该分区以策安全。其实有些本本厂商采用的一键恢复功能,就是该用途的集中体现之一(其将系统镜像放在一个TPM加密的分区中)。
目前提供TPM安全芯片的厂商也不少,由于其不面对最终消费者,大家可能都比较陌生。由于国外对于TPM安全芯片的研发、制造起步较早,故而国外厂商在这方面有着相当大的优势。国外生产的TPM安全芯片的主要厂家有:英飞凌、意法半导体(ST)、Atmel、华邦电子(收购美国国家半导体公司)等。国内厂商这方面的研发起步较晚,目前仅有联想的“恒智”芯片以及兆日公司的产品。
有些朋友以为TPM只能管理、保存密钥,功能不是太强,今后会不会没有发展前途呀?事实是否定的。目前广大笔记本厂商内置TPM更多的是防患于未然,毕竟支持TPM的系统还没有出现,因而目前广大厂商都是采用第三方软件来实现TPM的部分功能,提供例如文件加解密等服务。在Vista正式发布之后,TPM安全芯片将真正开始发挥其幕后英雄的本色,大量的系统安全功能也都将通过其来实现。而在将来,随着微软NGSCB技术的正式推广,TPM将在真正意义上扮演PC的保护神,让我们的电脑真正摆脱木马、病毒的骚扰。看来得到软硬件两方面支持的TPM安全芯片今后前途无量,TPM安全芯片在今后的本本安全领域上的作用将更加凸现。
在昨天的Wedbush Morgan Securities年度高层会议上,雅达利公司创建者之一的诺兰·布什内尔(Nolan Bushnell)称,游戏产业目前面临的盗版泛滥问题,在过不久将随着新型加密芯片的逐步普及而成为历史。
“一种名为TPM的加密芯片即将被使用在今后的大部分电脑主板上。”布什内尔在会议上说道:“这就意味着游戏产业将迎来一种全新的、绝对安全的加密方式,它无法在网络上被破解也不存在注册码被散播的危险,它将允许我们在那些盗版极为严重的地区开拓巨大的新市场。”
布什内尔认为,电影和音乐的盗版很难被阻止,因为只要是“能看、能听的就可以拷贝”。然而电子游戏的情况则完全不同,由于这类产品与代码的紧密联系性,使用TPM芯片将能够完全阻止盗版游戏的运行。
“一旦TPM芯片的普及率达到足够高的水准,我们就可以开始看到在亚洲和印度等盗版泛滥地区正版软件收入的逐步增长,而这在以前是几乎是不可想象的。”
详解编辑本段回目录
虽然个人计算机及网络都采用灵活的设计,并对外开放,但这个灵活开放的优点也正是它的弱点。根据美国的市场调查公司 IDC 的调查资料显示,系统保安问题一直窒碍网上活动的发展,使电子商务以及其它网上应用程序无法进一步普及。一般计算机用户都知道他们每日收到的电子邮件之中,有很多都附加了暗藏小应用程序的附件,这些小应用程序利用探听文件,趁着计算机重新启动时收集用户密码及信用卡号码等资料。
计算机密码专家 Adi Shamir 及 Nicko van Someren 曾指出黑客可以利用代数破译法,破解长位数据串内的 RSA 密钥,也可利用统计破译法找出隐藏在大型程序内的任意密钥。这两位捷克密码专家也发现最广泛使用的电子邮件加密程序 PGP 也存有漏洞。由于这个程序有漏洞,因此黑客可以盗窃已加密的电子邮件,然后破解发件人的私人密钥。
可信赖运算平台联盟 (TCPA) -- 硬件保安系统的诞生
由于软件较容易受黑客侵袭,因此受影响的公司不得不另想办法,转而利用硬件加强保安。康柏 (Compaq)、惠普 (HP)、IBM、英特尔 (Intel) 及微软 (Microsoft) 等多家大公司于是在一九九九年组成 "可信赖运算平台联盟 "(Trusted Computing Platform Alliance, TCPA)。这个联盟的成立宗旨是要致力为硬件保安系统制定一个业界标准。
目前该联盟拥有 160 多个成员,其中包括美国国家半导体。该公司现正推出符合 TCPA 1.1 规格的 SafekeeperTM可信赖平台模块 (Trusted Platform Module, TPM)。
由于个人计算机具有安全套接层 (SSL) 等可信赖的保安功能,因此大、中、小企业都可利用个人计算机接入公共及专用网络进行电子交易。但目前大部分可信赖的保安功能都利用软件加密。TCPA 成立的宗旨是要致力利用硬件加强系统的保安,来弥补软件在保安方面的不足。这些硬件装置可进一步加强软件方面的保安功能,受惠的软件技术标准包括可确认数字证书的 X.509、互联网协议保安协议 (IPSEC)、互联网关键交易 (IKE)、虚拟专用网络 (VPN)、公共密钥基础结构 (PKI)、专为智能卡而设的 PC/SC 规格、生物统计、安全多功能互联网邮件扩展 (S/MIME)、安全套接层 (SSL)、以及安全电子交易 (SET) 等。
可信赖平台模块 (TPM)
可信赖平台的定义是指本机用户及远程交易方都信赖的个人计算机,有关的交易方包括用户、软件、网站及所有第三方。为了赢得交易双方的信任,可信赖平台必须获得某一公认的权威如计算机协会 (CA) 公开承认其可靠性,以证明该平台有能力在高度保密的环境下执行指定工作。
硬件保安装置须符合 TCPA 子系统的有关规定。TCPA 子系统在设计上力求可为保安系统的测量数据及记录提供一个可靠的运行机制。这个子系统设有两个模块,可信赖平台模块 (TPM) 是 TCPA 规格指定采用的硬件;另一模块则利用软件执行与 TPM 一并测量的保安系统功能。
获该子系统保护的硬件包括 BIOS 及系统硬件,而获该子系统保护的软件则包括操作系统及系统软件。
激活过程会检查有关纪录,保证系统已装载了所有软件,以及核实正确的系统配置、身份及可靠性。TPM 设有一个可信赖的激活环境登录册,让操作系统可以为其补充数据。整个激活过程环环相连,形成一个按步骤执行的信任链,由 TPM 开始,然后顺序运行 BIOS、硬件配置、选项之一的只读光盘、激活程序操作系统、操作系统、应用程序及网络,而且必须按照这个先后次序运行。下一步是测量及记录预置规格。有关数据可以先行比较,然后才进行下一步骤的工作。系统需要最少 16 个平台配置寄存器 (PCR)。TPM 执行称为 EXTEND 的操作,以便将数据散列,并将之储存到 R0 至 R15 的 PCR 寄存器内。称为 SEAL 的操作则负责将专用目标按照一组预先设定的 PCR 数据加以锁定。按照这个步骤,有关数据可以在操作系统并未进入使用状态时设定在 BIOS 内,换而言之,验证审核会按照特定的操作系统配置加以锁定。操作系统运行时,TPM 可以先参考 VPN 参数才进行锁定,并可为加密文件系统储存密钥。
可信赖平台可以为使用者提供有关平台软件的数据,确保使用者可以大概推想平台软件的规格。有关数据经测量后,会一并提供给使用者。可信赖平台也提供一套如何设定密钥的程序,并指出需要为软件作出甚么新设定才可将密钥解密。这些功能由保安系统负责执行,而保安系统的数据则反映平台软件的保安程度。平台须具备两个信任基础 (root of trust) 才可测量及提交数据,一个信任基础用来测量保安系统,而另一信任基础则用来存储及提供保安系统的数据。
可信赖的测量基础可以测量部分平台特性,将测量数据记录在测量存储器内,以及将最后的数据存储在 TPM 内,但 TPM 必须拥有可存储及提供保安系统数据的信任基础。可信赖平台若收到有关平台保安的查询,平台的代理程序便会收集存储于 TPM 内的最后数据、存储器保存的测量数据记录、以及 TCPA 的确认数据,若平台正常运作,TCPA 的确认数据应与平台的测量数据吻合。代理程序将这些测量数据传送给询问者供其核对,以确定这些数据是否与最后的数据相一致,询问者可将有关数据与 TCPA 的确认数据加以比较。询问者可通过这样的核对与比较过程推断出可信赖平台的软件是否可靠,而询问者最后可以决定是否相信平台有能力执行有关工作。在确定平台是否值得信赖之前,询问者可以利用 TPM 将密钥以及保安系统的已记录数据储存起来,确保 TPM 不会泄漏那些密钥,但保安系统的最新测量数据若与保安系统的已记录数据吻合则不受此限。
整套子系统除了设有可用以测量保安系统的信任基础之外,还设有 TPM 与其它功能,例如不必取得我们的信任仍可继续执行正常功能的支持服务。
测量用的信任基础 (RTM) 可以作为一个比较标准,以便判断整个测量过程是否值得信赖。核心组件及运算引擎则负责确保系统的可信性。此外,内核、运算引擎及系统的其它部分都以线路连接一起。
保安系统及加密功能
整个执行保安过程的第二个重要环节是保安系统的储存系统。可信赖平台的测量数据存储器设有登录册,册内每一记录项目都记下所测量的对象以及 TPM 已记录的保安系统相关数据。登录册可以复制 TPM 保安系统每一过程的数据。若登录册及 TPM 所提供的数据相一致,而 TPM 又可信赖,即表示登录册也可信赖。若登录册的纪录与 TPM 所提供的数据不谋而合,我们便可假定登录册准确记录了建立目标平台软件系统所需的步骤。
TCPA 保安解决方案并不主张将个别的保安系统数据储存起来。其实可信赖平台已足以储存保安系统的运作过程。保安系统的数据必须附录在这个运作过程之后。激活时,TPM 运作过程的状态全部都按照已知数据设定。每一新的保安系统数据必须附录在运作过程之后,并且须修订有关运作过程的数据。按照 TCPA 的方法,我们其实必须将新规格的数据与运作过程现有的数据合在一起,计算出一个综合数据,但计算时只采用单向的散列功能,以避免重复使用旧数据或建立预定的数据。这个综合数据可以代表新的运作过程。 保安系统可以让任何使用者决定所测量的数据是否一致,以及比较平台的真正状态与预期状态。保安系统数据必须由一个可信赖的机制负责提交,TPM 设有可储存及提交保安系统数据的信任基础,可以提供上述的可信赖机制。TPM 可以利用其身份代码及传统的加密技术签署,以显示其可信程度。只有 TPM 才知道签署密钥的代码,因此签署密钥是一对密钥之中的私用密钥,而另一与之相对的密钥则称为公用密钥,后者是用以辨认身份的密钥,因为这是确认 TPM 身份的密钥。签署密钥 (私用) 与身份确认密钥 (公用) 是用以确认 TPM 使用者身份的部分依据。
以机构而非个人为主的使用者必须先确认 TPM 的身份,才可为 TPM 作保证。使用者先检查 TPM 的结构身份码、 TPM 平台的设计身份码、以及 TPM 平台的结构身份码。当 TPM 提供所储存的保安系统运作过程的数据时,TPM 会利用 TPM 的身份确认密钥签署核实有关数据。当使用者收到由 TPM 提供并已签署核实的数据时,便可保证有关数据并未在传送过程中受到任何破坏。使用者也可检查有关数据是否由已确认身份的 TPM 签署核实,以及使用者认识的机构是否已确认 TPM 的身份。
TPM 设有一组必要的功能,以确立其可信程度。有关功能包括散列 (SHA-1)、产生随机数字 (RNG)、产生以 RSA 为基础的非对称密钥、以及基于 RSA 的非对称加密等多种加密功能。由于成本的关系,业界无法广泛采用对称加密功能。
TPM 必须获得可信赖散列功能的支持,才可确保使用者更易进入 RTM 及其它代理程序,而后者在系统激活时可以有限度进入平台的主处理器。
随机数字的产生是另一重要的输入,其状态机负责接收及混合无法预测的数据,并利用混合数据执行单向功能。状态机具有非易失性状态,并在交予客户之前以无法预测的数据激活。状态机更可随时再接收无法预测的数据。无法预测的数据一般来自硬件的热噪音或有回馈的不稳定电路。由于有新的数据混入状态机的现存状态,亦即消费者已取得该设备才输入新数据,因此有助提高状态机的不可预测性。 SafeKeeper -- 可信赖平台模块
美国国家半导体的 SafeKeeper PC21100 芯片是一个按照 TPM 规格开发的解决方案。这款芯片为系统提供 "信任的基础"。PC21100 芯片内置 RISC 内核、可以安全储存数据的闪存、可支持加密算法 (SHA-1 及 RSA) 的 SecureRun 性能加速器、以及真正利用硬件产生随机数字 (Hardware RNG) 的功能。
在 SecureRun 的支持下,PC21100 芯片无需主机干预便能迅速产生及储存 RSA 密钥,这样有助进一步加强平台的保安。接口架构也经过优化,可以执行激活过程所必要的散列功能,但又不会影响系统传输量。
SafeKeeper 芯片为台式电脑及笔记本电脑平台提供系统保安检查,并确保硬件或软件不会在未经许可下被更改。这款芯片可支持核实功能,并可确认数据提供者的法定身份,保证数据不会来历不明,也保证所收到的数据完整无缺。
PC21100 TPM 的最重要部分是其 CR16B 内核。这个内核其实是一个高性能的 16 位 CompactRISC RISC 处理器,其中内置一个闪存及另一 8KB 的随机存取存储器 (RAM)。
加密引擎
SecureRun 是加密引擎的最重要部分,可快速执行加密/解密功能,其 RSA 及 SHA-1 散列操作可高达 2048 位,而且所有运算都在高度保密的环境下执行。容量较大的内置式 RAM 可执行多个不同的算法,其中包括数字签署、证书核实及密钥产生等。
高度安全的通用输入输出 (GPIO) 可为其它系统功能及装置提供接口,以加强平台的保安。
PC21100 芯片可支持 PC01 及 ACPI 标准,因此可以采用 PnP 配置登记结构,确保可以灵活分配资源予所有逻辑器件,以及提供可以浮动的基本地址与 15 个 IRQ 路径选择。
低脚数系统总线
以典型的个人计算机来说,采用 PC21100 芯片的 28 脚系统线路图一般都设有主机接口,让芯片可以经由低脚数 (LPC) 总线取得低脚数地址数据,其中包括多路转换指令、地址双向数据及周期状况、PCI 提供的高达 33 MHz 的时钟输入。
PC21100 芯片内置由固件控制的先进电源管理电路。CR16B 可接收主机传来的指令,以便可以知悉系统电池的用电水平。PC21100 芯片的唤醒功能确保系统一旦发生任何事故,芯片可以实时处理。
给你的PC加个锁:TPM(信任平台模块)详解编辑本段回目录
诸位都知道何谓Caller ID(来电显示),无论您是用市话还是手机拨打都可以看到来话方的号码,在国外就连公共电话亭都具备此机制,亲友从话亭拨打,受话方还可依据号码进行回拨。不过Caller ID并不能保证来话者的身份,因为手机可以暂借,市话也是全家共享,更简单说就是Caller ID认机不认人。
另外,也有许多作法是反过来:认人不认机,例如MSN实时传讯、Web Mail网页信箱,只要账号密码正确,在居家、机场、网咖等任何地方都可传讯及信件收发,同样的健保IC卡也是认人不认机,卡代表个人,到各处就诊将卡插入卡片阅读机,身份辨识在卡而非在机。
然而,也有既认人又认机,例如企业办公室内的计算机,有时是需要员工卡正确、员工账号密码正确、并且是该员可运用的计算机(业务部的同仁不能去使用研发部的计算机,以免窃取研发数据),所有条件都符合才行。
既然有认人认机两种需要,那么现有状况又是如何?一般来说认人都使用IC卡(即Smart Card),或生化辨识(指纹、虹膜)、或账号密码,而认机呢?认机就如同帮宠物植入辨识芯片一样,在装置内嵌入IC卡,此方式即是本文所要谈论的重点:信任平台模块(Trusted Platform Module;TPM),TPM将是装置身份辨识的未来主流,IDC甚至推估:至2007年时,新出货的PC中70%都将具有TPM功能。
▲图说:信任运算的「大」构图,以TCG组织所制订的标准为共通依据,建构出安全的基础建设(Security Infrastructure),并让所有的信息、通讯等运用都支持与适用此基础建设。(图片来源/TrustedComputingGroup.org)
从TCPA到TCG,再到TPM、TSS、TNCTPM从何而来?其实这与PC产业的安全发展息息相关,且有一段摸索历程。
话说1999年Intel推出Pentium III时,标榜在CPU内提供独一辨识序号(Processor Serial Number;PSN)以作为资安辨识之用,原属良好立意,没想到遭人非议成网际监控,后续的Pentium 4便取消此一设计。
不过,Intel仍然希望在自有的PC用芯片内加入更多的安全功能,之后在其芯片组内加入随机数产生器(Random Number Generator;RNG),一样没有获得太多响应。自此Intel体会到:要让大众顺利接受PC上的新资安机制与功能,必须从独推转成众拱,因此于1999年10月Compaq、HP、IBM、Intel、Microsoft等信息业者共同成立了信任运算平台联盟(Trusted Computing Platform Alliance;TCPA),以利推倡PC的资安机制标准。
然而TCPA的「Wintel共垄」意味过浓,同样不利推展,到了2003年3月进行改组,转变成信任运算集团(Trusted Computing Group;TCG),并吸引了许多非PC产业的业者加入,如Nokia、Sony等,自此中立超然、广泛遍适的效益逐渐显现。
TCG成立后,开始着手讨论各业者都认同的资安设计作法,包括硬件设计(TPM)、软件设计(TPM软件堆栈,TPM Software Stack;TSS)、连网设计(信任网络连接,Trusted Network Connect;TNC)等,其中硬件设计的TPM将适用范畴从PC扩大到各式电子装置,尤其是容易遗失遭窃的行动装置,例如Notebook、PDA、Mobile Phone等,这些装置多半存有重要且机密的个人、商业信息。
在此要注意的是,TPM虽可嵌入到各式装置,但各装置也必须先遵循共通的平台规范,不过这个规范不是由TCG所制订,而是依据Common Criteria(信息技术安全评估共同准则)机构所订立的保护型态(Protection Profiles),此方面的标准可见于ISO 15408文件中。
▲图说:TCG对信息、电子产业的安全辨识架构有总体性的设计规划,TPM以及搭配TPM的软件堆栈TSS,皆是此大规划下的必要环节,更底层的各装置平台的保护型态,则是依据与倚赖ISO 15408的规范。(图片来源/TrustedComputingGroup.org)
虽然TPM不仅适用在PC,但不可讳言的PC确实是最大宗且最迫切需要导入资安辨识(手机至少还有个出厂序号、PIN等防护)的电子装置,而且Notebook的迫切性高于Desktop(外出风险高),Desktop在商用或特殊机构等场合也一样需要资安辨识。
以实例为证,Dell、Fujitsu、HP、IBM(Lenovo)、NEC、Samsung、Toshiba等业者都已有推出具TPM机制的Notebook,而Dell、HP、IBM(Lenovo)、NEC、Quay、MPC、Optima等业者也都有推出TPM的Desktop,此外SentiVision公司推出具TPM的IP STB(视讯机顶盒),以及IBM实验性的提出Linux PDA:e-LAP也具有TPM。
▲图说:IBM开发的Linux PDA:e-LAP(embedded-Linux Application Platform),除了使用IBM PowerPC 405LP处理器外,还具有TPM功能。(资料来源/LinuxDevices.com)
从不同的芯片层级提供TPM能力谈论了一些TPM背景、用意、作法、概况后,本文的目标主要是快速指引电子工程师尽快选择合适的方式,好让其设计的产品能具备TPM能力,以下我们就来谈论各种实现方式。
第一种作法是选择具有TPM功能的CPU,例如Transmeta的Crusoe TM5800及其后续CPU(如Effineon),另外VIA的C3(C5P,Nehemiah核心)、C3-M、Eden、Eden-N,以及最新的C7、C7-M等CPU也都内建硬件RNG及AES加密引擎,但是否符合TPM标准尚待确认。
其次是选择具有TPM的PC芯片组,目前尚未有符合TPM的PC芯片组,但我国的ULi(宇力电子)预计在新款的AMD64平台芯片组:M1697加入TPM v1.2的能力,一般而言TPM功能会内建在芯片组中的南桥芯片(强调整合多样I/O外围功能)。
若不在CPU、芯片组层级实现,往下在Super I/O芯片层次一样可加入,例如NS(Winbond)的SafeKeeper系列芯片,包括Notebook用的PC8392T以及Desktop用的PC8374T,此种加入TPM功能的Super I/O芯片也称为Trusted I/O芯片。
如果也不在Super I/O内加入TPM,那么就只能选择独立封装的TPM功能芯片(也称安全控制芯片,Security Controller),例如Atmel的AT97SC3201、AT97SC3202,Infineon的SLE66CXxxPE系列、SLB9630、SLB9635,ST的ST19WP18,以及大陆Sinosun(兆日科技)的SSX35等。在独立封装芯片的选择上还牵涉接口的选择,此方面我们将再更后头说明。
TPM的设计用入(Design-In)方式大致如上,只有一种比较特别,那就是Broadcom的作法,Broadcom的NetXtreme系列GbE(Gigabit Ethernet)控制芯片:BCM5751、BCM5751M、BCM5752、BCM5752M都具有TPM功能,如果确定设计的产品会内建GbE功能也可用此种选择。
附注:NS也曾推出独立封装的TPM功能芯片:SafeKeeper PC21100,但之后一律内建至Super I/O芯片内。
附注:NS于今(2005)年5月4日将其Advanced PC部门售给我国的Winbond(华邦电子),该部门即包括Super I/O芯片、SafeKeeper系列的Trusted I/O芯片。
▲图说:Infineon针对TPM v1.2标准所最新推出的SLB 9635芯片。(图片来源/Infineon.com)
评估及选择合用的TPM芯片虽然目前能提供TPM功能的芯片业者不超过10家,但在设计选用上也需要谨慎的评估,笔者以下提供各种角度的选择考虑:
1.选择TPM版本
现有符合与支持TPM功能的芯片多半是遵循TPM v1.1b或TPM v1.2标准,从版本数字上看虽只有小幅变化,但其实细部的改变相当多,为了能满足求能先进的需求,建议尽可能实行v1.2,目前多数的新芯片也都直接支持v1.2,如Broadcom、ST、Infineon、Sinosun等已有v1.2版的芯片,Atmel、Winbond、Transmeta则较多在v1.1b,或者委托设计的客户也有可能指明须支持v1.2。
附注:关于TPM v1.1b、v1.2间的改变,可参考此份文件:https://www.trustedcomputinggroup.org/downloads/TPM_1_2_Changes_final.pdf。
2.提供韧体、软件范例,预先标准支持、规范验证
Infineon、ST等业者较为强调整个TPM配套的销售,包括事先进行与加密软件搭配的验证、通过国际资安层级的认证(如EAL1~7,Evaluation Assurance Level),相关的范例韧体、软件、驱动程序等,甚至会强调支持Intel的LaGrande技术(简称LT)及Microsoft的Longhorn操作系统及新世代安全运算基础(Next Generation Secure Computing Base;NGSCB)等,看来TPM在PC上的运用依然不易摆脱Wintel的影响。
附注:Microsoft NGSCB的前身为Palladium技术,Palladium技术过去与Intel推行的资安技术相同均遭到许多的猜测与质疑。
3.桌上运用、行动运用
Broadcom、Winbond等业者会针对桌上用、行动用等不同需求而对应推行不同的芯片,桌上用讲求价位,行动用讲求省电,另外行动用也经常讲求体积的精小,最好能选择已与其它功能芯片整合的版本,这些在设计之初就必须加以考虑与选择。
4.LPC接口、SMBus接口
如果使用独立TPM功能的芯片,现有都是以两种接口与系统连接:LPC(Low Pin Count)或SMBus,如果是设计以PC架构为主体的系统,如Desktop、Notebook、或以PC架构为基础所设计成的STB等,可任意选择LPC或SMBus,因为今日PC都已具备此两种接口。
但若是在一些非PC架构的装置上,如PDA、Mobile Phone等,则只能选择SMBus,理由是只有PC具有LPC接口(为取代ISA接口而提出),非PC系统多半不具备。不过多数的TPM芯片只支持LPC接口,或同时支持LPC及SMBus界面,尚未见到有完全仅使用SMBus接口的TPM芯片,而支持双接口的TPM芯片有较宽裕的设计弹性。
5.安全特性比照Smart Card要求
TPM芯片的安全作法与机制类同于IC Card/Smart Card,所以强调的安全设计也相近,包括具有加密演算的硬件加速器、确实以硬件方式来实现随机产生器、更长长度的金钥(1024-bit RSA、2048-bit RSA)、通过EAL或NIST FIPS 140.2的安全层级验证等。
▲图说:以PC主机板所用的的TPM架构为例,TPM芯片、TPM操作系统、以及TPM应用程序皆位于整体架构的最下端,其它还需要TPM的装置驱动程序、TPM的BIOS驱动程序,以及各种的软件服务及API,才能建构出真正安全的PC辨识与防护。(图片来源/Infineon.com)
结论我国贵为PC的OEM/ODM重镇,若日后真如IDC所估,2007年新出货PC达70%具TPM功能,那么很明显的现有的设计与制造都必须及早因应,尤其是Notebook与商用PC更是需要加紧,其次也要准备用于PDA、Smart Phone等行动装置。
或许现阶段家用PC及其它装置(如STB)对TPM的需求较无商用PC与行动装置般的迫切,然而随着电子商务的使用激增,以及订阅式、付费式内容服务正逐步成长,家用PC、STB也极有可能成为下一波积极引入TPM的对象。
▲图说:NS/Winbond将TPM功能融入PC原有的Super I/O芯片中,并称为Trusted I/O芯片,作法上是以原有的PC87392 Super I/O机片为基础,融入了True RNG、SHA/RSA硬件加速器(SecureRun技术)、RISC core等实现TPM所必需的功能。图即是Trusted I/O芯片:SafeKeeper PC8392T的功能方块图,PC8392T是针对笔记型计算机应用而设计。
硬件防护如何保护计算机编辑本段回目录
使用硬件防护:自Palladium到VPro
安全的在线金融、密码保护的文件、牢靠的远程计算机操控─它们全都仰赖在某些点上进行加密。但是在软件内进行完全的安全防护就像是要在院子里藏大门的备份钥匙,您必须找到一个完美的地方让宵小根本找不到。
习惯上存放在磁盘或内存中的随机数字是用来加密成为私人钥匙以便保护文件及连结,这个私人钥匙也是放在磁盘或是内存中。让我们回到2000年,加密专家nCipher展示了一个像是后门程序 (Back Orifice) 的Trojan,可以轻易的找出那些随机数字与私人钥匙,只要您正在以管理者身分使用操作系统,假如有恶意程序进入了您的系统,它就能以相同的方式攻击您的加密工具、防毒软件及虚拟机器,它能破坏档案或是窃取个人数据。
在硬盘上或内存中,一个软件可以被另一个软件改变;您不能依赖防护软件来警告您,因为那也是可以被更改的。您必须加上硬件,将其当作是一个无法被恶意程序变更的参考点。有些商业用户会使用像是GSM电话里的SIM卡那样的智能卡或是硬件锁 (dongles) 登入主机,这些卡与硬件锁会根据只有这主机才知道的种子 (seed) 计算出随机数字;但是在现有的计算机上加入硬件防护所费不赀,而且是依照已设计出来的系统去使用;最好的方式是在一开始时就整合了硬件的防护系统。
上述是在以前一个名为「守护神」 (Palladium) 的防护系统下的一个概念,多年来,守护神及次世代安全运算基础 (Next Generation Secure Computing Base) 的计划中包含了在硬件中嵌入防护的操作系统,如此就可以免除了恶意软件的攻击。但是或许习惯去强化像是数字权限管理或其它控制系统这样的设计问题与考量意谓着目标是被缩小的,您现在所得到的是一称为可信任平台模块 (Trusted Platform Module, TPM) 的专用芯片,就像是使用PGP及BitLocker这类软件加密保护整个硬盘一样,拿它作为防护金钥配对应用的选项。
英特尔、威盛与AMD全都支持TPM,但是英特尔也有其它的硬件等级防护与管理特色,像是Trusted Execution Technology (TXT),以前的代号是LaGrande,被用来检查虚拟化的软件自前次使用之后是否未被更改,也有用来远程管理及隔离与更新那些可能被感染计算机的主动管理技术 (Active Management Technology, AMT),这些特色结合了CPU、芯片组、TPM及网络控制器,加上软件,在这一个英特尔称之为「平台」的组合体上施行。而今日这些功能为企业而设计,在桌上型系统是属于vPro平台的品牌,而在笔记型计算机上则是Centrino Pro (或是具有vPro的Centrino),但他们在未来会以类似VIIV的方式进入消费型系统,而且当目前TPM还是一个单独的芯片时,英特尔计划在今年稍晚将它直接纳入I/O Controller Hub中,在硬件上加上一些像是AES加密之类的额外功能。
像是生物识别技术的安全防护系统,不必Trusted Platform Module也能运作,但是有了它会更安全。
信任可信任平台模块 (Trusted Platform Module)
TPM芯片可能是主机板上的一个单独的芯片、整合在网络控制器中或是置于南桥芯片里,它存在于任何可以连上LPC (Low Pin Count) 总线的地方。
最初由IBM设计,由信任运算集团 (Trusted Computing Group) 组成的厂商联盟操控的可信任平台模块 (Trusted Platform Module, TPM),您可把它想成一个焊在主机板上的智能卡,在硬件上是与SIM卡一样,但是韧体不相同。IBM原来的嵌入式安全系统 (Embedded Security System) 是放在一片子卡上,再连接至LPC,而且可以拔下来,但是TPM是永久装在主机板上 (接在南桥芯片或I/O Controller Hub上的33MHz Low Pin Count总线)。您不会在所有的系统中看到TPM芯片,但任何标示有vPro或Centrino Pro的计算机都将具备TPM。当苹果计算机在转换至使用英特尔的处理器之初,他们在Mac主机板上设置了一个TPM (用来检测是否在苹果计算机硬件上运行Mac OS X) 但在几个月之后移除了那个芯片,据说是为了降低硬件成本。
TPM具有一些功能,包含一个随机数字产生器及一个金钥产生器,所以它能够为加密功能产生签章及配对金钥。这些加密金钥是放在TPM中被保护的地方,所以很难袭击到它们。您的私人金钥永远不会离开TPM;另外,TPM会比较金钥以及验证它们或是签发公用金钥,有加密金钥可对储存器加密及对存在TPM中金钥进行描述。TPM也有它自己的私有金钥,这个签章金钥 (endorsement key) 是由制造商产生的,而且是无法由TPM以外的任何东西读取出来。初始化及管理功能可让您开启或是关闭TPM的功能,重置芯片以清除您的金钥,并取得新的或重置后的TPM的所有权 (所以您才能够将计算机移交给别人),如果一个安全防护系统只需要知道您的计算机具备有TPM而不必对您了解更多,那么这TPM支持直接匿名认证协议 (Direct Anonymous Attestation protocol)。
TPM芯片在预设情况下是失效的,所以您必须使它生效,透过跳线、BIOS或是两者同时,全视您的系统而定。即便是在生效的状况下,TPM并不会启动中断,它只对软件的请求作出反应。为了要使用TPM,您必须利用随附在您计算机上的TPM工具软件去取得所有权,英特尔是采用Wave的Embassy Security Center。利用TPM产生金钥,您选它作为您所产生的任何验证的密码服务供应者 (Cryptographics Service Provider, CSP)。
可信任平台模块预设是失效的,必须在软件能够使用它进行防护之前设置好。
您一旦启动了TPM并取得所有权,您就可以随时随地的利用进阶选项将它当成加密服务提供者 (Cryptographic Service Provider) 来产生认证。
信任可信任平台模块 (Trusted Platform Module)
TPM也可以将开机管理程序 (boot loader)、BIOS及主要开机记录的大小储存起来,就像是当作您计算机的「指纹」,这可以向服务器识别您的计算机,也可以证明计算机与开机单元并未遭到窜改,所以它可扮演系统可信任的根基。TPM会计算那些零散的配置信息并将其存放在平台配置缓存器中,因此它可以比对每次开机被操作系统或是像BitLocker这类加密软件要求的数值。只因为在计算机中有个TPM,并不代表如果您没有配置它去监看系统的话,计算机就会在开机过程中产生问题。同样的,某些TPM的功能,像是读取TPM的签章金钥 (endorsement key),只能在系统开机时执行,如此恶意程序就无法提取金钥而传送给其它计算机。
配置大小值也可以用来将金钥封存在TPM里,如此这些金钥将只能在平台配置缓存器确认您的系统是在相同的状态下才能被释出并使用,如果系统封存了那些您用来加密档案的金钥,而此时有病毒变更了主开机记录,或是有人想要用外接式磁盘将您的计算机在不同的操作系统下开机,在平台配置缓存器中的记录值将无法吻合,金钥就不会被释出,便能保护您的档案。
随着虚拟化变得越来越普遍 – 所以您将是在管理程序之上执行多个操作系统,可信任的根基在此时就更显重要,因为可能没有明显的迹象显示您的管理程序被窜改或甚至被替换掉,管理程序必须让CPU进入一个已知的状态,执行已知的程序,并且能够保护它自己以抵御那些会影响那程序的攻击。您可以用重置硬件方式去达成 - 这是所谓的静态可信任根基,但是您执行的虚拟主机越多,您就越不希望它常发生。
在未来的操作系统中,虚拟主机管理员及管理程序将会使用CPU指令把CPU回复到已知的状态,藉由发送那将被执行的程序给TPM去进行测量。您可以检核指令会做它应做的事,且确认没有恶意程序会试图拦截它,这是所谓的动态可信任根基,也意谓着您可以重新启动一个虚拟主机但不必重新启动整个系统。
朝向这个目标的第一步是英特尔的信任执行技术 (Trusted Execution Technology, TXT),这技术是利用TPM为虚拟主机产生签章,因此您能识别程序是否在虚拟主机建立时就已经安装上去。英特尔的VT让虚拟主机以更多的权限运行,如果您选择了它,任何与以TXT技术存放在TPM中清单不符合的虚拟主机都将无法获得更高的权限,或甚至根本不能执行。TXT也可以隔离应用程序或虚拟主机所使用的内存,让它们无法被其它的程序,甚或是操作系统改变。又假如有个应用程序当掉,而TXT正在保护这个当掉的程序使用的内存,它将会清除内存分页及处理器快取,让恶意软件无法强制应用程序当掉,进而存取那程序在内存中的数据。
这想法是为执行中的应用程序或虚拟主机在计算机中创造一个安全的空间,而不止是涉及CPU而已,在芯片组中已有扩充能力去保护内存,并提供被保护的信道给绘图硬件与I/O,让应用程序在安全的空间中运行。在鼠标及键盘间来去的数据是透过分享于输入装置与输入管理员加密金钥所保护;绘图次系统在应用程序执行的安全空间至绘图框缓冲区间有个安全路径,接着再到它所显示的窗口,再一次的确保没有任何东西可以窥探数据。
在目前没有已出货的虚拟化工具采用TXT,但Parallels正与英特尔合作在Parallels Desktop中使用VT与TXT,以创造出一个虚拟主机监视器,可保证不被感染。预期其它的虚拟主机供货商将在2008到2009年之间会纳入对于TXT的支持。
芯片组中TPM的未来
即便用TPM产生的配对金钥来加密,实际上档案或是整个硬盘的加密还是由软件完成的;这比起由硬件来做要慢一些,而且加密软件也可能会被攻击。而且即使TPM是被彻底的保护着,但数据仍是在主机板上到处传送。代号为McCreary的下一代vPro预期在2008下半年抵达,英特尔将直接把TPM整合在芯片组之中。
代号为Danbury的这个功能将把更多的金钥管理与加密移到Eaglelake芯片组中,它将可以不需要操作系统中的驱动程序就能针对SATA与eSATA进行彻底的加密;英特尔预估经由Danbury进行加密会比单独使用软件加密更快速,因为是在硬件中从事128-bit与256-bit AES加密,而且所有从硬盘读出或写入硬盘的数据都会经由芯片组解密或加密,Danbury也将有助于您移除硬盘上所有的数据;没有金钥,加密的档案是无法被读出但它仍可以安全的被移除。
Danbury将会在磁盘控制器中加入硬件AES加密功能,也会在芯片组中放入TPM及其相关的韧体。
加密软件厂商Credant、PGP、Pointsec、SafeBoot及Utimaco异口同声表示他们将支持Danbury硬件加密,Danbury也将在英特尔所谓的「独立运作」(standalone) 模式下工作,用密码保护您的硬盘同时也用Danbury对档案进行加密,所以您不必为了基本加密作业分别用不同的软件。
全部都用TPM加密
虽然它产生金钥,TPM却不执行任何软件,要使用的防护软件必须特别编写。自2003来以来有许多内建TPM的桌上型与笔记型计算机销售出去,如果您的笔记型计算机配备了指纹读取器、指纹扫描以及以指纹储存密码,那计算机也许就是透过TPM来防护。Linux在其2.6.12版核心时就已经支持TPM,有些密码保管库使用TPM,像是Wave的个人数据管理员 (Personal Information Manager) 与文件管理员 (Document Manager) 之类的应用程序。
您最有可能遇到的TPM防护的软件工具是像PGP Whole Disk Encryption、CompuSec FDE、Securstar DriveCrypt Plus Pack及Vista的BitLocker之类的加密选择。
这些工具对整个Windows扇区进行加密,并用TPM检测开机单元,如果系统被窜改您是无法启动它,而且宵小也无法利用光盘开机或是将硬盘拿到另一个使用其它操作系统的计算机上进行解密。
就BitLocker来说,它是免费附于Vista的Ultimate版本中,您的硬盘必须以NTFS档案系统进行格式化,而且需要二个扇区。系统扇区只需要1.5GB的空间,因为它只存放加载Windows所需要的档案,这些档案并不加密;Vista本身位于开机扇区,BitLocker将会对整个扇区以金钥进行加密,那金钥是用扇区加密金钥加密的,因此假如您更改系统中某些东西,或是遗失了金钥,您可以取得一个新的金钥而不必花时间去对整个扇区再进行一次解密与加密的动作。您也可以暂时关闭BitLocker以便更新BIOS (这会更改TPM中的数值),同样的,磁盘不必再一次的解密与加密,因为开机扇区是处在加密状态但扇区加密金钥是未加密状态。当您回复了BitLocker,只有扇区加密金钥必须重新加密。
一旦BitLocker透过TPM确认金钥并证实是您,Vista档案系统会对您读写的扇区进行加密与解密,这并不会明显的让系统慢下来。如果您让计算机进入休眠状态,休眠档案会被加密直到当您唤醒计算机时才会再一次的解密。如果您有其它的扇区,您不必在那上面直接执行BitLocker,您反而可以利用Windows加密档案系统 (Encrypting File System),因为金钥是放在被BitLocker保护着的开机扇区。
您可以在USB记忆碟上加上一个PIN码或是启动金钥让BitLocker更加的安全,您也可以在USB磁盘上建立一个回复密码或是回复金钥,假如您的计算机挂了或是必须在其它系统上读取时可以用它来回复经过加密的磁盘。
BitLocker将您的硬盘与您目前的计算机及目前设定绑在一起,您将需要回复细节以便在其它机器上取得加密档案。
AMT改善防护与远程支持
因为AMT被嵌入成为一个硬件,它可以与一个未执行操作系统的关闭计算机进行联机,或即使是一台需要被隔离防护的计算机。
英特尔的Centrino Pro与vPro商业系统现在包含了主动管理技术 (Active Management Technology, AMT) 这个硬件次系统,让IT部门经由网络检查或是更改系统配置,即便计算机不在运行状态。这加速修复被恶意程序所危害的系统,当计算机受到病毒危害时,AMT也有一些特定防护功能去保护或隔离这些计算机。
AMT使用一个称为Manageability Engine的小型处理器,设置在网络卡或是芯片组的北桥芯片之中,其韧体是放在与存放BIOS同一个快闪式内存中,它利用系统内存中一个专用区块去执行韧体。AMT预设是在失效状态,所以您必须逐台计算机去启用它,在工作队列上会有小图标显示它是否在运行状态下,当它在运行时,Manageability Engine内的一个Web服务器会运行让您从相同网络上别台计算机里的浏览器上看到AMT系统的状态,也可让您开启或关闭AMT计算机,不论那计算机是否已经挂掉,因为Manageability Engine是在S3预备模式下运行。
AMT使用硬件网络过滤器与带外通讯去侦测问题与运用策略,您从其它计算机上的管理操控台控制策略。
用那些设计来与AMT共同工作的管理软件,诸如Symantec的Altiris、Lenovo的Rescue与Recovery、HP OpenView与微软System Management Center,您可以重新启动计算机,重新将其导向由网络映像开机,用本地操作系统修复问题、改变BIOS设定、重新启动或更新防毒软件、安装Windows更新程序、重建硬盘以及删除可疑的应用程序。您也可以在出现问题时得到警示,以及检查装了哪些硬件与软件。
在网络控制器中有32个传入与传出硬件过滤器监看网络通讯,且如果当一个系统表现得像是在散播病毒时会自动隔离计算机以阻挡网络通讯。即使操作系统不是在完全运转状态下也能运作,所以病毒无法靠中止Windows来保护它自己,英特尔称此为「回路中断器」(circuit breaker),但与其它AMT功能一样,它需要特别编写的管理软件去使用它。Symantec正在发展一款用AMT执行它们自己嵌入式操作系统的虚拟防护系统,且防护程序是在Windows范围之外,那些恶意程序无法影响到它的地方。
vPro平台在芯片组中结合了额外的硬件功能,在闪存中BIOS的边上,在网络控制器里,加上软件直接控制。
AMT改善防护与远程支持 (续)
您不需要经由特殊的软件去AMT的Web服务器查看细节,您可以用任何Web浏览器;如果您拥有配备AMT的Dell或HP系统,您可以随计算机免费获得AMT客户端软件,Lenovo vPro笔记型与桌上型计算机免费赠送供Lenovo系统用的LANDesk Starter Kit。如果您想要控制更多项目,您可以自英特尔的SDK位置下载AMT开发者工具 (AMT Developer Toolkit),包含了英特尔AMT Commander,这是一个可执行所有AMT功能的操控台,它允许您由远程进行BIOS配置、强制其它计算机用备用映像进行开机、关闭闲置计算机,或启动计算机进行Windows更新。
AMT也给每一台vPro计算机一个通用唯一识别码 (Universal Unique Identifier, UUID),即便计算机在关闭状态时也能读取这个识别码,而且如果您安装其它操作系统、格式化硬盘或更换内存、显示卡或其它硬件都无法改变它。这不仅是确保管理程序每次都是与正确的计算机进行对话,也是计算机的安全识别码。这表示着您可以在安装Windows的同时安装软件,这在一般情况下是必须先等对计算机完成命名,因此就一个自动安装来说可以在一个映像中进行所有事情,如果您想要合并您自己的映像档去进行一个较快速的安装是挺便利的。
当AMT进入家用计算机成为VIIV的一部分时,我们可以预见计算机生产商及计算机商店用它作为管理及防护服务。在中国,SoftCom有个以AMT为基础的商用计算机管理服务,称之为StarNet,这公司已经展示一版为家用计算机所用的StarNet,用来管理防火墙及防毒软件,与像是NetNanny的防护服务一起,假如使用者关闭了NetNanny服务,AMT就会让计算机自因特网断线避免浏览,但计算机仍可经由AMT进行远程管理。如果计算机因为病毒或是木马程序而当机或是无法开机,StarNet可以远程进行联机,执行一个诊断的操作系统,装上硬盘并查看出问题的磁盘、病毒、坏掉的开机扇区以及其它问题、修复系统,并发送信号进行重新开机。
英特尔必须对AMT做一些修改让它能为家庭使用者所用,在商业应用上,管理操控台是在相同的网络上,在家用方面,您的路由器会封锁管理软件进行联机,所以家用计算机以要求联机为首要目标,AMT韧体具有要求协助的功能,但没有让网络联机发送要求的功能,因此英特尔计划在下一版的AMT韧体中加上此一功能。
Danbury也将简化一些AMT的功能,像是远程解开系统锁定,如果您的系统带有Danbury,而您忘了密码,那么IT的求助台将可以自管理软件发送一个远程解锁命令,而不必使用存放在闪存磁盘上的回复金钥以手动方式回复您的系统。
英特尔正在它的平台上建立如同所有硬件防护的功能,这需要软件与硬件同时具备,并且需要一个在平台上被硬件防护着、可被信赖的计算机。您也许还不能凡事都靠vPro硬件防护,但在未来,从保护您的档案到验证您的身份,所有事它都能做。微软的首席研究与策略长,Craig Mundie,认为平台等级的硬件是非常适合安全身份系统,「TMP允许我们隐没秘密并拥有可靠的身份,我们将给人们,程序与硬设备身分,这可不是开玩笑的,我们将能组合这些装置并让人们信赖他们。」
英特尔的主动管理技术 (Active Management Technology) 允许受危害的计算机被诊断、更新与远程修复,目前仅只用于商务系统。
全球最安全芯片TPM遭破解 影响近亿台电脑编辑本段回目录
北京时间2月10日消息,全球各地估计上亿台电脑都装有一颗被誉为举世最安全的TPM(信任平台模块)加密芯片,它可将包括政府及商业计划等机密上锁,防止他人窃取。不过,一名前美军计算机安全专家宣称已发明破解方法,这意味全球各地的计算机使用者及厂商可能面对一场空前安全危机。
TPM模块是硬件搭配软件一起运作,被形容为数字版的“诺克斯堡”(Fort Knox,指宾州的美国国库黄金存放地点,安全固若金汤),只要将它启动便会自动加密,未经授权的外人都无法接触到储存在计算机内的数据。
前美军计算机安全专家塔诺夫斯基,上周在维吉尼亚州出席“黑帽黑客简报会”时,以全球最大TPM芯片制造商英飞凌(Infineon)的旗舰产品,公开示范破解之道。塔诺夫斯基承认,由于必须绕开芯片上的电路,他花了六个月的时间才找出如何有效入侵的办法。破解过程需要使用到液态化学品和气体技术,才能在实验室中向芯片刺入特制的针,建立“窃听”桥梁,难度很高。
该技术也可运用于Xbox 360
目前在加州经营一家计算机安全顾问公司的塔诺夫斯基强调,相同的破解技术可运用在英飞凌所有使用相同设计生产的芯片,包括卫星电视设备、微软游戏机Xbox 360,以及智能型手机使用的“非TPM”芯片。这表示他的破解技术可用来窃取卫星电视讯号,或不支付专利费给微软,就能制造出Xbox 360兼容接口设备,并窃取手机通讯内容。
塔诺夫斯基说,他不确定同样的破解技术是否可运用在非英飞凌生产的TPM芯片。英飞凌则响应,该公司芯片在测试阶段便知道有这种破解方式,但独立测试发现,这种破解方法需要极高超技术,影响到许多使用者的机会并不大。
专家称破解手法太艰难 一般人很难重现
制订TPM规格的信赖运算集团(TCG)则指出,塔诺夫斯基的破解手法太艰难,无法在真实世界中重现。不过,美国国土安全部顾问委员会成员、黑帽黑客大会创办人摩斯形容,塔诺夫斯基的发现令人诧异和关注。
参考文献编辑本段回目录
http://www.tomshardware.com/cn/1413,review-1413-7.htmlhttp://www.yixiao.net/zblog/post/90.html
http://www.ic37.com/htm_tech/2008-1/9283_349632.htmhttp://en.wikipedia.org/wiki/Trusted_Platform_Module