可信计算TPM2.0

目前市场上已经部署了超过10亿的TPM，并且几乎所有的商业PC和服务器上都存在，但很少有人知道它们。

TPM2.0规范的可读性很差，尽管大多数的技术规范都是如此。

可信平台身份证明

PKI证书

撤销证书一般是把证书列入证书撤销列表（CRL）中来实现

 为了获得对某一证书的信任，验证者必须验证三个方面：

1.验证真实性。     证书真实性的验证是基于证书链验证机制的

2.验证有效性。     证书有效性的验证是通过比较当前时间与证书截止时间来进行的

3.验证可用性。     证书可用性的验证是通过证书撤销机制来实现的。

 

X.509

X.509是一个Public Key Certificates的格式标准，TLS/SSL使用它，TLS/SSL是HTTPS的基础，所以HTTPS也使用它

匿名远程证明协议（群签名、隐私协议分析）

密钥备份及恢复

密钥的备份与恢复只能针对解密私钥，签名私钥不能备份

Kerberos

Ø Kerberos 是一种可信任的第三方认证服务，是通过传统的对称密码体制提供 TCP/IP 认证服务的。

Ø 过程：客户机向认证服务器（ AS ）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。

Ø 组成： AS （ Authentication server ）存储用户名

        和密码以确定登录客户的身份

        TGS（Ticket-Granting Sever ）为用户和

        服务器产生会话密钥,并发放给用户

Ø 优点： 与授权机制相结合，实现了一次性签放的机制，并且签放的票据都有一个有效期，可有效防止重放攻击；支持双向的身份认证，即服务器可以通过身份认证确认客户方的身份，而客户如果需要也可以反向认证服务方的身份；

Ø 缺点： 票据有可能在有效期内被重放；管理密钥太多，存在管理问题；无法保证数据的完整性。

平台配置寄存器

PCR是TPM的基本特征之一。