Computação Confiável

‘Trusted Computing’

Trusted Platform Module
Caixa de texto: Redes de Computadores I Prof.º Otto Carlos Muniz Bandeira Duarte Autor: Willy Chaves de Freitas Email: willyfreitas_@hotmail.com

             Os chips Trusted Platform Modules (TPM) baseados na especificação da TCPA estão atualmente disponíveis junto de três fornecedores: Atmel, Infineon e National Semiconductor. Algumas plataformas micro-informáticas podem atualmente ser encomendadas: IBM ThinkPad, notebooks e NetVista desktop.

           O chip TPM inclui as seguintes funcionalidades:

           Chave públicas: criação de pares de chaves, assinatura com chaves públicas, verificação, encriptação e desencriptação.

           Início seguro: os registros de encriptação da plataforma (PCR) registram pedaços de informações relativas à configuração durante toda a seqüência de arranque; uma vez ligado o computador é possível  “selar” dados (tais como chaves simétricas para ficheiro encriptado) num PCR

           Inicialização e gestão: mediante estas funções, o proprietário pode, ou não, utilizar o chip, reinicia-lo e assumir a sua propriedade; a nova versão das especificações permite que o proprietário delegue  determinado numero de funções ao utilizador.   

           O Endossement Key (EK) é um par de chave (uma pública e outra privada) de 2048 bits. O componente confidencial do par de chave é gerado dentro do TPM e nunca exposto fora do dele. O EK é original ao TPM particular e conseqüentemente à plataforma particular. Há duas maneiras gerar o EK:

           O primeiro método deve usar o comando de TPM especificado para esta finalidade (TPM_Create EndorsementKeyPair). O segundo método é chamado “squirting” em que a lata do fabricante de TPM "esguincha" um EK externamente gerado no TPM durante o processo de fabricação.

           Por isso toda a parte de confiança está associado com o TPM, pelo fato de que o EK é original e que está sempre protegido dentro do TPM. Esta propriedade é certificada pelo certificado do endosso (CERT). O mesmo partido que fornece o EK não pode fornecer o CERT do endosso, em que a marca do fabricante de TPM "esguincha" um EK externamente gerado no TPM durante o processo de fabricação.

           A Attestaion ID Key (chave de atestado de Identificação - AIK) é usada fornecer a autentificação da plataforma a um fornecedor de serviço. Isto também é chamado authentication pseudo-pseudo-anonymous e é diferente da autentificação do usuário. São três os tipos de certificados que podem ser armazenados no TPM: Certificado do endosso (CERT do endosso), CERT da plataforma, e CERT do conformance. O CERT do endosso contem a chave pública do EK. A finalidade do CERT do endosso é fornecer o atestado que o TPM particular é genuíno, isto é que o EK é protegido. O CERT da plataforma é fornecido pelo vendedor da plataforma e fornece o atestado que os componentes da segurança da plataforma são genuínos. O CERT do conformance é fornecido pelo vendedor da plataforma ou por um laboratório da avaliação. Fornece o atestado por um partido seguro a respeito das propriedades da segurança da plataforma.

 

 

 

 

 

 

Processo de Encriptação no chip TPM

Anterior   Próximo