信息系统安全导论第五章之可信计算

一、可信计算概论

1.1  可信计算的定义

可信计算是增强信息系统安全的一种行之有效的技术。它基于一个硬件安全模块， 建立可信的计算环境。可信硬件安全模块担任信任根的角色，通过密码技术、硬件访问控制技术和存储加密等技术保证系统和数据的信任状态。

1.2  可信计算的基本思想

1）可信计算的目标：

• 提高计算机系统的可信性
• 现阶段：确保系统数据完整性，数据安全存储，平台可信性远程证明

2）可信计算用途：

• 数字资产保护
• 身份认证
• 系统完整性保护

3）基本思想：

首先建立一个信任根，再建立一条信任链。从信任根开始到可信硬件平台、到可信操作系统、再到可信应用系统，一级度量一级，一级信任一级。从而把这种信任扩展到整个计算机系统。

1.3  可信计算的关键技术

1）信任根技术

信任根是系统可信的基础和出发点，信任根的可信性由物理安全、技术安全和管理安全共同确保。

可信计算组织TCG认为一个可信计算平台必须包含3个信任根(分别对应可信计算的三大基本功能）

• 可信测量根RTM（root of trust for measurement)
• 可信存储根RTS（root of trust for storage）
• 可信报告根RTR（root of trust for reporting ）

2）可信平台模块（Trusted Platform Module，TPM）

该技术旨在为计算机设备提供基于硬件的安全相关的功能。

“TCG设计TPM的目的是给漂浮在软件海洋中的船只──客户终端，提供一只锚。”

3）信任链技术

信任链：从信任根开始到硬件平台、到操作系统、再到应用，一级度量一级，一级信任一级。

• 用Hash函数来度量平台的启动序列和软件的完整性。
• 在TPM内部设置一些平台配置寄存器（Platform Configuration Register，PCR），用于存储度量的值。
• 计算方法：New PCRi = HASH (Old PCRi  ||  New Value)，其中符号||表示连接。

4）可信软件栈（TSS）

可信软件栈TSS(TCG Software Stack)是TPM平台上的支撑软件，其作用是为其他软件使用TPM的可信计算服务提供接口。

5）密码技术

• 公钥密码和对称密码
• 数字签名和验证
• 加密和解密

对称密码是指加密和解密时使用同一密钥的方式 ：

公钥密码则是指加密和解密时使用不同密钥的方式，又称为非对称密码。任何人都可以生成自己的公钥和私钥，把公钥公开，私钥自己保管。攻击者不能从公钥推导出私钥。当别人想把数据发送给我的时候，先用我的公钥对数据进行加密，然后发给我，我再用我的私钥解密。

二、可信平台模块和信任根

2.1  可信平台模块TPM

TPM结构

1）I/O：TPM的输入和输出部件

2）密码协处理器：

• 公钥密码引擎：

        ■ TCG主要使用公钥密码，有意淡化对称密码。

        ■ TCG建议使用RSA密码，支持1024，2048位的RSA密钥，其中根密钥应为2048位。

        ■ 数据格式采用PKCS#1标准，并可以采用CRT格式表示证书。

• 对称密码引擎：

        ■ TCG有意淡化对称密码，TPM中没有明确设置对称密码引擎。

        ■ 对应认证数据和传输数据的加密可采用“一次一密” 方式的异或方式加密。

        ■ 传输数据的长度较长，必须采用PKCS#1中的MGF1函数对密钥进行扩展，然后再异或方式加密。

3）密钥产生：

• 产生RSA的密钥对。
• 对称密钥的产生使用TPM的RNG（Random Number Generator，随机数生成器）。

4）HMAC引擎（Hash-based Message Authentication Code，哈希消息认证码）：

• HMAC是基于HASH函数的消息认证码。
• TPM支持HMAC的计算，其计算根据RFC2104规范 。

5）SHA-1引擎（Secure Hash Algorithm，安全哈希算法）：

• 用途：

■ 数据完整性校验

■ 数字签名的数字摘要

■ 计算HMAC

• SHA-1的设计安全性为O（2^80)

6）随机数产生

• RNG（Random Number Generator，随机数产生器）是TPM的随机源，要求符合FIPS140-1标准。
• TCG既允许使用真随机的TRNG，也允许使用伪随机的 PRNG。

7）电源检测

• 管理：

        ■ TPM电源状态和平台电源状态。

        ■ TCG要求所有的电源状态变化应通知TPM。

• 原因：

        ■ 支持初始化、信任链等操作。

        ■ 与平台电源状态匹配。

        ■ 避免侧信道攻击。

8）Opt-Ln：一组选择配置开关。例如，通过on/off的选择,可激活/不激活某一部件和功能。

9）执行引擎：

• 运行程序
• 执行TPM收到的命令

10）非易失存储器

• 用于存储固定标识和TPM状态
• 已经设置了一些存储内容，如背书密钥EK（ Endorsement Key）等
• 其余空间，经TPM的属主授权的实体可以使用。

11）易失存储器

• 工作存储器
• 速度快，容量小

2.2  TPM的密钥体系

1）密码配置：主要采用公钥密码（RSA密码）

2）密钥配置：

①  背书密钥EK（Endorsement Key）：背书密钥是一个模长为2048-bit的RSA公私钥对。EK不用作数据加密和签名；对于一个TPM而言，EK是唯一的，代表着每一个可信平台的真实身份。

• TPM的根密钥，固化在TPM芯片里，与TPM唯一对应
• 2048位RSA密钥对
• 不可迁移密钥

②  平台身份证明密钥AIK（Attestation Identity Key）：替EK来提供平台的证明，可以理解为EK的别名。

• EK的替身密钥
• 2048位RSA密钥对
• 不可迁移密钥
• 不能用于加密

③  存储密钥SK（Storage Key）：用于对其他密钥进行存储保护。

• 存储根密钥SRK（Storage Root Key）

        ■ 2048位RSA密钥对

        ■ 保护一般存储密钥

        ■ 不可迁移

• 一般存储密钥SK（Storage Key）

        ■ 1024位RSA密钥对

        ■ 保护其他密钥

• 构成一个密钥树

④  签名密钥SIGK（Signing Key）：用于对数据签名

• 1024位RSA密钥对
• 不可用于加密

⑤  绑定密钥BK（Bind Key）：用于加密保护TPM外部的任意数据

• 加密保护数据和对称密钥
• 1024位RSA密钥对

⑥  继承密钥LK（Legacy Key）：既可以用于签名也可以用于加密

• 在TPM外产生，使用时调入TPM
• 1024位RSA密钥对

⑦  认证密钥AK（Authentication Key）：

• 对称密钥
• 用于保护TPM的会话

3）密钥的控制属性

①  迁移性：是否允许密钥从一个可信计算平台转移到另一个可信计算平台，EK、AIK、SRK是不可迁移的。

②  授权数据：

• TCG规定密钥的使用必须经过授权
• 授权数据=Hash（共享的秘密数据 || 随机数）
• TPM的存储空间很小，只存储EK和SRK的授权数据

4）密钥证书配置

①  背书密钥证书EC（Endersement Credential）

• TPM生产商的名称
• TPM的型号
• TPM的版本
• EK的公钥

②  身份证书IC/AIK证书AC（Identity Credential/ AIK Credential）

• TPM生产商的名称
• TPM的型号
• TPM的版本
• AIK的公钥

2.3  可信PC平台的信任根

1）TCG的技术规范：

①  可信度量根（RTM）：可信度量根核CRTM （ core root of trust for measurement）

②  可信存储根（RTS）：

• TPM芯片中的PCR寄存器
• 存储根密钥SRK

③  可信报告根（RTR）：

• TPM芯片中的PCR寄存器
• 平台身份证明密钥AIK（背书密钥 EK）

 2）可信度量根（CRTM）

• CRTM是一个软件模块
• CRTM是信任链的起点
• 根据BIOS的结构不同，CRTM有两种类型：

        ① 以BIOS的引导模块作为CRTM

        ② 以整个BIOS作为CRTM  

3）可信存储根（RTS）

可信存储根由TPM中的平台配置寄存器PCR和存储根密钥SRK组成。

• PCR是在TPM中开辟的一组寄存器，存储平台的可信度量值。
• SRK在TPM中用于保护普通存储密钥SK，2048位RSA密钥对。

4）可信报告根（RTR）

可信报告根由TPM中的平台配置寄存器PCR和平台身份证明密钥AIK组成。

• PCR的内容向外报告时用AIK签名保护。
• AIK由背书密钥BK控制产生，因此真正的可信报告根是BK。

三、可信计算的典型应用

3.1  系统可信启动

 1）BIOS完整性保护：可信度量根CRTM无论是BIOS启动块还是整个BIOS，都必须受到完整性保护。可信度量根如果能被随意更改， 那么其就不可能对平台启动的下一个部件进行正确地完整性校验，计算机就不能安全启动。

一种保护方法：将BIOS闪存芯片的写保护引脚与可信密码模块相连。

2）Linux中常用的启动引导工具：

• Lilo(Linux Loader) ：旧版本
• Grub(Grand Unified Bootloader)：新版本，替代Lilo

3）引导程序一般分为两个独立的阶段：

①  Stage1：存放在启动扇区

• 第一阶段即BIOS从启动扇区中读入IPL（初始化程序引导工具），用来引导Stage1.5
• Stage1.5用来加载文件系统驱动，以识别Stage2的文件系统

②  Stage2：Grub的核心程序

4）平台完整性度量、存储及信任链传递

①  以可信度量根RTM为起点

②  当需要装载一个部件到平台上运行时：

• 先对该部件进行完整性度量
• 将度量值记录在TPM的PCR中
• 记录度量事件日志
• 然后再将其加载运行

3.2  BitLocker

1）BitLocker简介：

• 主要针对的问题：由计算机设备的物理丢失导致的数据失窃或恶意泄露。
• Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。
• BitLocker使用TPM帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、 丢失或被盗的情况下也不会被篡改。
• BitLocker还可以在没有TPM的情况下使用，可以把密钥放在U盘上。

2）BitLocker的体系结构

3）BitLocker的加密原理

4）BitLocker的解密原理

5）封装和解封

①  初次整卷加密时的封装

• 计算系统分区相关组件的哈希值
• 把计算结果存到PCR寄存器
• 用相应寄存器封装卷主密钥（Volume Master Key，VMK）

②  引导时的完整性检查

• 计算系统分区相关组件的哈希值
• 把计算结果存到PCR寄存器
• 解封卷主密钥VMK

四、可信远程证明

远程证明是一个综合完整性校验和身份认证的过程，向验证者提供了一份可信的平台状态报告。