TPM証明書の認証局(CA)とは正確には何ですか?
Trusted Platform Module(TPM)について学び、リモートマシンを含むソリューションに組み込むことを研究しています。
私が理解しているように:すべての認証方法(AIK、DAA)では、アイデンティティを知るためにsomeoneが必要です(まあ、チップのID)、このIDに基づく証明書を発行します。匿名性が機能するのは、CAがtrustedであるためです。これは、プロセスでIDを明らかにしないためです。あなたの身元はverifierからのみ安全です。
この場合、CAは誰ですか?メーカー?その場合、それはマザーボードまたはチップセットの製造元(ASUS(mb)またはIntel(chipset)またはWinbond(IC)など)ですか?.
また、これらのCAに連絡するにはどうすればよいですか?彼らは公共向けのインターフェースを持っていますか?何を送りますか?
手短に言えば、CA権限に関して、今すぐリモート認証を使用するにはどうすればよいですか?どうすれば連絡できますかwho正確ですか?
私はあなたが確かに正しいと思います、検証者はあなたのTPMが信頼されていることを知っています。 DAAの場合、ベリファイアはTPMをユーザーにマップできません。
AIK証明書の登録では、認証局はAIK証明書を検証するエンティティと同じである場合があります。
一方、DAAでは、認証局は関与していません。 TPMプラットフォームと連携して資格情報を作成する発行者があります。 TPMプラットフォームは後でAIKを作成し、これらの資格情報に基づいてDAA署名でこのAIKに署名します。この署名と公開鍵は検証者が利用できるようになります。検証者は、受け取った情報に基づいてTPMの所有者を特定することはできませんが、信頼されていることを認識しています。発行者は検証者と同じにすることができます。アプリケーションは、プライバシーを確保するためのサブスクリプションサービスです。
Opensslを使用して独自のCA証明書を作成できます。ウェブ検索はあなたの友達です。
trousersテストスイートツールは、TPMハードウェアチップなしでIBMのソフトウェアTPMと共に使用して、認証を試すことができます。 TPMとしてビーグルボードを使用し、CAとしてカスタムX86_64 Yoctoで構築されたLinuxを搭載したKontronを使用して、実際のInfineon TPMを使用しました。また、ハードウェアTPMとIBMソフトウェアTPMの両方でDAAを実行しました(DAAを機能させるために、自分のTrouSerS 0.3.10コードのコピーに多くの修正を加えました)。 AIK証明書については、testsuiteにAspを作成してAIKをアクティブにするTsp_TPM_CreateIdentity.cがあります。 AIKを作成した直後、次のリンクのガイドに従って、ID証明をCAに送信します。 IDプルーフには、Tspi_TPM_CollateIdentityRequestから作成されたAIKが含まれています。 CAがAIK証明書を送り返したら、Tsp_TPM_ActivateIdentityを呼び出して、AIK証明書を保持します。故ハル・フィニーはプライバシーCAを運営していましたが、彼のWebリンクは1年半使用されていません。
TPMには、製造時にキーペアが装備されています。秘密キーはTPM内に格納され、改ざん防止技術によって物理的に保護されています。公開鍵は認証されています。このような公開鍵が与えられた場合、所有者は、自分の公開鍵で暗号化されたメッセージを復号化できることを証明することによって認証されます。このような認証はTPMを識別するのに役立ちますが、プライバシーにも影響します。 DAAは、そのような影響を(部分的に)克服することを目的としています。
DAAでは、TPMのグループが上記の方法で発行者を認証し、発行者はそれらのTPMに資格情報を付与します。このような資格情報が与えられると、TPMはTPMのグループのメンバーとして認証できます。したがって、TPMは発行者にクレデンシャルを取得するためにそのアイデンティティを公開しますが、クレデンシャルを使用して認証する場合、そのアイデンティティは非表示になります。したがって、TPMはTPMのグループ内で匿名です。
非TPMがTPMのグループのメンバーとして認証されないようにするために、発行者はTPMに資格情報を付与するだけで信頼されている必要がありますが、発行者は匿名性について信頼されていません(検証者も信頼されていません...)。