|
一直对DRTM的概念存有疑惑,今天翻了些资料,特地研究了一下。 1.什么是DRTM? DRTM是与CRTM核心测量根相对的概念,要了解DRTM,就要了解信任根和CRTM。 那么,什么是信任根和CRTM呢? 首先,信任根是可信计算中引入的一个术语,是计算平台中必须被信任的一个组件。我的理解是,信任根是在计算机中加入的一个TTP(可信第三方),这是一个假定,也可说是一个公理,如果我们不信任信任根,就无法探讨依赖于信任根的安全机制。在信息安全中,我们经常也可看到这样的假定,比如在PKI的体系中,CA作为TTP,我们对CA签发证书的密码学验证操作都是建立在CA是TTP这一基础上的,如果我们本来就不信任CA,验证又有何意义呢?因此,信任根是一个公理性质的假定,可信计算的安全机制都是建立在这一假定基础上的。从这里也可以看出,这个“可信”计算的“可信”并不是真的可信,确实如安全专家BruceSchneier所说,是被迫信任的。在英文中也是有区分的,前者称为trusted,后者称为trustworthy。信任根又包括存储根、测量根和报告根,“根”前面的定语分别表明它做的事。存储根就是做存储的,之所以为根,是因为我们假定或信任它存储的时候是安全的,它不会干其他坏事。同理可推诸测量根和报告根。在IA32架构计算机的实现上,TPM就是存储根和报告根。那么测量根在哪里呢? 实际上,在IA32架构的计算机中,是CPU执行BIOS的启动模块完成测量根的工作,这个BIOS中的启动模块,就称之为核心测量根CRTM或静态测量根SRTM(StaticRoot for trustmeasurement)。这个根只能在计算机加电启动(Reset)之后的那一时刻建立,不能在计算机启动以后的其他时刻建立,静态的含义即在于此。发端于信任根的信任链就开始建立了,过程包括: (1)CRTM最先被CPU执行,对自身以及BIOS进行完整性度量(SHA1散列),将度量的日志存入SML中,将度量值存入TPM的PCR寄存器中,然后再将控制权移交给BIOS; (2)BIOS执行通常的操作,对可选ROM进行完整性度量,将度量的日志存入SML中,将度量值存入TPM的PCR寄存器中,然后再将控制权移交给可选R |
|
|
来自: iceberg_horn > 《待分类》
