[tc] info tpm

Davide Vernizzi davide.vernizzi a gmail.com
Mar 20 Nov 2007 11:44:33 CET 

Maladette scorciatoie involontarie.. se prima è arrivato un messaggio
a metà, non fateci caso. Questo è quello definitivo

On Nov 20, 2007 11:02 AM, Salvatore Caratozzolo
<s.caratozzolo2 a campus.unimib.it> wrote:
> stavo rileggendo delle vecchie mail e mi stavo chiedendo:
>
> 1-che cos'è una PrivacyCA?

La PrivacyCA (CA) è una Certification Authority (CA) che emette un
certificato per una AIK.

Faccio un breve richiamo. La AIK è una chiave RSA che ha alcune caratteristiche;
1. la parte segreta della AIK viene mantenuta dal TPM e non viene mai
rilasciata.
2. la AIK viene usata *solo* per fare la remote attestation e *mai*
per altri scopi.
   2.1 quindi la AIK viene usata solo per fare una firma su un dato
che è prodotto solo dal TPM. Questo dato contiene la lista dei pcr con
il loro valore e un nonce deciso dal verificatore che serve per parare
da attacchi di tipo reply

detto questo, aggiungo che:
3. la AIK, come ogni chiave RSA, ha bisogno di un certificato (AIK_Cert).

tale certificato, come ogni certificato, è emesso da una CA. AIK_Cert
serve per garantire che la AIK sia effettivamente stata generata da un
TPM genuino (che, quindi, garantisce la segretezza della parte
privata). Per dimostrare la genuinità del TPM, la piattaforma usa la
Endorsement Key (EK). La EK è una chiave RSA con alcune
caratteristiche:
4. la parte segreta è mantenuta dal TPM e non viene mai rilasciata.
5. la EK viene usata *solo* per fare una richiesta di AIK_Cert e *mai*
per altri scopi.
6. la EK, come ogni chiave RSA, ha bisogno di un certificato
(EK_Cert). Tale certificato è emesso dal produttore del TPM o dal
produttore della piattaforma o comunque da qualcuno che possa
garantire la genuinità del TPM.

Quindi durante la richiesta di AIK_Cert, la CA entra in possesso di
EK_Cert. Userà la EK_Pub (presente dentro a EK_Cert, ricordo) per fare
una sfida al TPM e verificare che questo sia in possesso della parte
privata ed userà EK_Cert per verificare che EK sia effettivamente la
EK di un TPM genuino e non una RSA generata da un attaccante.

A questo punto la piattaforma potrà usare AIK e AIK_Cert per fare la
remote  attestation. Se il verificatore remoto si fida della CA che ha
emesso AIK_Cert, si fiderà del fatto che prima di aver emesso AIK_Cert
aveva verificato che il TPM fosse genuino e, quindi, si fida del fatto
che AIK sia genuina. In questo modo la piattaforma può usare la AIK al
posto della EK per fare la remote attestation. Usare la AIK ha diversi
vantaggi:
1. la piattaforma può avere quante AIK vuole
2. se compromessa la AIK può essere distrutta
3. la piattaforma può usare una AIK diversa con ogni verificatore diverso.

Un grosso problema di questo sistema è che la CA che emette AIK_Cert
entra in possesso di EK_Cert; in questo modo CA è l'unica che può
revocare la privacy della piattaforma (sostanzialmente dichiarando
quale EK è legata a quale AIK). Per il fatto che la CA che emette
AIK_Cert deve proteggere la privacy della piattaforma, viene chiamata
PrivacyCA.

> 2-il certificato digitale del TPM è una sorta di attestato
> con le sue info su EK, SRK, chiavi private e PCR
> utilizzati per il seal? visto che si usa per
> l'esportazione delle chiavi...no?

Quale certificato? Ce ne sono tantissimi in una piattaforma trusted.

> 3-ritorno sul certificato della chiave:
>
> "Il certificato della EK deve essere emesso da una terza
> parte fidata; in particolare fidata da parte del
> verificatore.
> Ovviamente il certificato non può essere emesso
> dall'utente (perché
> l'utente potrebbe certificare una chiave RSA comune che è
> usata in un
> emulatore).
> Purtroppo ad oggi non è presente nel tpm un meccanismo che
> a partire
> da una EK valida (quella di Infineon, ad esempio), revochi
> la vecchia
> EK, ne generi una nuova e faccia in modo di procurarsi un
> nuovo
> certificato (la procedura di cui parlavo alla fine della
> mia mail
> precedente)."
>
> non capisco bene a cosa serva questo certificato!...mi
> sfugge qualcosa!! è quello usato CON la AIK?per dire che
> la mia AIK è originale?

No, è quello usato durante la richiesta di AIK_Cert per dimostrare a
PCA che il tuo TPM è genuino. Ma leggendo quello sopra, spero che sia
chiaro ormai.

-- 
Davide

Maggiori informazioni sulla lista tc