web-dev-qa-db-ja.com

セキュアブートまたはメジャードブートにTPMの所有権は必要ですか?

知っている:

  • セキュアブート-TPMを使用できます
  • メジャードブート-TPMを使用する必要があります

これらのプロセスに精通している誰かが、TPMの所有者が許可したコマンドが必要か、これらのプロセスで使用されているかを説明できますか?

背景:エンタープライズアプリケーションでTPMを使用しています。私はそれを所有し、報告のために自分の信頼のルートを証明する必要があります。

ただし、箱から出して、私のTPMチップは所有されています。上記のように、UEFIのものを想定しています。

セキュアブートを無効にする必要はありませんが、チップの所有権は必要です。

私が所有権を取得すれば、自分のやりたいことができると思います。UEFIとセキュアブートコードは、実際の所有権がなくても、必要なこと、単純なキー操作、署名のチェックなどを実行できます。

誰か知ってる? TPMをクリアして所有権を取得した場合、OEM/PCメーカーがすでにUEFI用にTPMを所有しているとどうなりますか?

4
Wilbur Whateley

このガイド でわかることから、私はTPMの専門家ではないことを前置きします。TPMの所有権を取得しても、オペレーティングシステムのセキュアブートオプションには影響しません。

TPMの所有権を取得するということは、TPM内のキーを新しい所有権パスワードでリセットすることを意味します。 Microsoft Windowsでは、これは少なくとも、必要な管理権限についてTPMに問い合わせることを意味します。

Secure Boot/UEFI は、ブート時に発生する個別のプロセスです。 TPMのキーを使用しますが、「所有者キー」とは異なります。 TPMは、ブートローダーや管理者権限などを確認するために、ハードウェア内にいくつかの異なるキーを保持しています。

1
RoraΖ