Re: [闲聊] 一般人真的有需要用到TPM功能吗?

楼主: HamalAri (哈马‧阿里)   2021-07-10 01:01:15
其实 TPM 只是一个功能简单的小元件而已
没有那么多强大的功能
: TPM 是整个信赖运算的核心。TPM 几个我认为几个跟 DRM 有关的核心功能:
: 1. 信赖链:TPM 验证 bootloader、bootloader 验证作业系统,作业系统验证应用程式
: 。所以除非破解 TPM 芯片 本身,任何作业系统或应用程式的窜改(例如破解档)都
: 会被 TPM 直接或间接抓到,验数位签章就可以了。
TPM 本身不会去抓 "窜改" 这件事
它的功能很简单,单纯的算出 bootloader 或作业系统核心的 hash 值
就只有这样而已
至于要怎么抓 "窜改" 呢?
比如,如果我们把 bootloader 和 核心的 hash 值,拿来当作加解密用的 key
可不可以?
这样一来,只要 bootloader 或作业系统被窜改过
hash 就会变,就无法解密 软件或硬件加密的系统碟
( 但是 TPM 本身并不参与系统碟资料加解密的过程 )
可是这种作法有个问题,就是我只要知道系统的 hash 值
也就知道了加密用的 key,这样显然是很不安全的
那怎么办,只好用下面的 sealed storage
: 2. Sealed Storage:只有正确的软件、硬件组合可以请求 TPM 解密。
只有在 bootloader 和作业系统的 hash 值是对的时候
才可以 unseal,拿到解密用的 key
不过只要有 root 权限,开机后 (解密后)
不管有没有 TPM 都可以直接拿到 master key
TPM 本身不是用来加解密资料的
TPM + 软件加密 是可行的
TPM + 支援 SED (TCG Opal) 的硬盘,也是可行的
TPM 本身没不意味者就是使用硬件加密
它单纯的是用来确认开机过程中的每一环节都没被窜改
但是如果真的被窜改了,TPM 也不会阻止系统开机
会让系统开不起来的是其它机制,例如无法 unseal key 所以无法解密
如果仅仅是单纯在 bios 启用 TPM,是无法享受到 TPM 的功能的
要搭配加密才会有使用 TPM 的意义

Links booklink

Contact Us: admin [ a t ] ucptt.com