餐桌礼仪常识:可信计算技术之--计算平台的证明

实际应用情况表明：基于PKI的信任机制可以证明资源访问者、资源拥有者的身份是可信的，但是无法确认资源访问者、资源拥有者所处的环境是可信的。因为需要相互向对方证明或者提供证据给对方 以确认自身所处环境的可行性。

基于PKI的信任机制缺乏这样一种能力：
身份验证后不能确保资源拥有者的主机、资源访问者的主机的硬件、操作系统、软件等是真实可信的。也就是主机节点依然处在一种非预期的状态。

在安全专用网络中，当网络中的一个主机申请加入这个专网时，在验证了它的身份后 还应该判定主机上的操作系统和软件是可以信赖的，这样可以有效阻止病毒和木马在专用网络中的传播。

如何有效地的远程证明一个主机的硬件、操作系统、应用软件等的真实可信性是一个亟待解决的问题。

可信计算技术的出现是为了保证终端设备的安全。

以TPM作为可信度量根、可信存储根、可信报告根。可信平台可以：向外来用户证实平台所处的状态，让外来用户判断本平台是否处于一个安全的状态。

PCR：平台配置寄存器platform configuration register
位于TPM内部，有16个单元，每个单元20 byte。
PCR的值只有两种情况下可以改变：系统重新启动时PCR清零；特定授权下的TSS操作函数。

可信报告：
在可信报告中，需要使用平台身份密钥AIK和AIK证书。AIK证书由可信第三方签发，用于证明可信平台的合法性。AIK密钥由平台拥有者拥有，密钥由TPM保护，不能迁出本平台。

平台身份证书生成
1、EK证书：EK密钥由TPM芯片生产厂商生成，是TPM芯片的唯一标识，在理想状态下，TPM内部保存着可信第三方颁发的EK证书用以证明EK的合法性。 2048 bits long.
EK是重要的私有信息，用EK加密或签名数据，攻击者可能会从被加密的数据中获取EK的相关信息而攻击TPM，平台身份密钥AIK由此产生（Attestation Identity Key）。

2、AIK证书：AIK密钥是EK密钥的替代者，利用AIK密钥可以进行签名与加密等操作。AIK密钥由平台所有者产生，保存在TPM、内部或外部。平台身份证书由可信第三方签发，用以证明AIK密钥的合法性。
AIK可以看作是EK的“别名”，EK只有一对，但EK可以对应多对AIK，之后，平台(或用户)可以针对不同应用或不同时间使用不同的AIK证书来表征平台身份可信性，同时可以实现隐私性。

The AIK has only one intended use: digitally sigh the platform configuration during attestation.

The reason to have an unlimited number of AIK is to achieve anonymity.

if the same AIK is used on every attestation the anonymity is lost.

"In order to be able to use a TPM in an effective way the owner must take ownership. The user taks ownership by showing his/her physicial presents by e.g. pressing a key and then type in a password. when ownership has been taken the SPK is created in the TPM. SPK=Storage Root Key"

3. An Aik key pair is generated in the TPM. to get the public aik verified and signed by a ttp, the platform bundles the public aik and the endorsement, platform and conformance credentials into a request. request0=public(aik)+endorsement+platform+conformance (credential)

4. the tpm create a hash of the TTP's public key, the hash is encrypted with the private aik to create a signature, which is sent with the request to a ttp. request1=sign(h(public(TTP)))+request0.

5.ttp receive the request1: verify the signature and credentials. if ok then create the aik certificate by signing public aik with the ttp's private key.

6. aik certificate is sent back to the platform, encrypted by the public endorsement key.(确保只有发起者能得到该证书) 这样做的目的是什么呢？既然证明者需要得到该证书！

TPM的结构示意：

The PCR is a 160 bits storage location used for integrity measurements.

There are at lease 16 PCRs and they are in a shielded location inside the TPM.

The first 8 is reserved for TPM use(measuring during boot, etc)

The last 8 is reserved for operating system and application.