TPMの署名キーを格納する場所
TPM 2.0を使用して、コンピューターのリモート認証を実行しています。そのためには、主キーから署名キーを生成する必要があります。これにより、公開鍵と暗号化された秘密鍵が生成されます。公式ドキュメントによると、「返されたデータの保持は呼び出し元の責任です」とあります。だから私はセキュリティの観点から何をするのが最善かと思っていますか?プライベート部分をNVRAMに保存しますか?両方をディスクに保存すると、キーが危険にさらされるシナリオは何ですか?そして、必要な計算能力(ブルートフォースなど)に感謝
保存する秘密キーは、TPMを離れる前にTPM自体によって暗号化されており、TPMの主キー(TPM内にのみ存在する)を使用してのみ復号化できます。あなたが持っている暗号化されたキーはTPMなしでは役に立たず、TPMへのアクセスなしでは危険にさらされません。好きなように保存できます。
TPMにアクセスできる(TPMと通信し、プライマリにアクセスできるコンピューターでコード/コマンドを実行できる)誰かからキーを遠ざけている場合、これは別の質問であり、何の関係もありません。 TPM。
TPMはそれを再作成できないため、紛失しないように注意する必要があります。唯一のコピーがあります。したがって、複数のコピーとバックアップを作成することをお勧めします。
鍵はRSA 2048(または3072または4096)またはECDSA NIST P-256でなければなりません。 TPMに ROCAの脆弱性 (またはそのようなもの)がない限り、世界中のすべてのお金を使って古典的なコンピューターを強引に破壊することは不可能です。注:「高価」ではなく「不可能」です。私たちが理解できるハードウェアでは、これらのキーを破るには、力ずくではなく、息をのむような新しい数学が必要になります。
将来、大型の量子コンピューターが構築される場合、それはキーをブルートフォースすることができますが、最初にこの素晴らしいデバイスの所有者は、より高いプロファイルのターゲットを追跡し、テレビでそれについて聞くでしょう。そのようなデバイスがいつ作られるかは誰にもわかりません。また、いつ作られるかについては科学的な議論があります。