セキュアブートまたはメジャードブートにTPMの所有権は必要ですか?
知っている:
- セキュアブート-TPMを使用できます
- メジャードブート-TPMを使用する必要があります
これらのプロセスに精通している誰かが、TPMの所有者が許可したコマンドが必要か、これらのプロセスで使用されているかを説明できますか?
背景:エンタープライズアプリケーションでTPMを使用しています。私はそれを所有し、報告のために自分の信頼のルートを証明する必要があります。
ただし、箱から出して、私のTPMチップは所有されています。上記のように、UEFIのものを想定しています。
セキュアブートを無効にする必要はありませんが、チップの所有権は必要です。
私が所有権を取得すれば、自分のやりたいことができると思います。UEFIとセキュアブートコードは、実際の所有権がなくても、必要なこと、単純なキー操作、署名のチェックなどを実行できます。
誰か知ってる? TPMをクリアして所有権を取得した場合、OEM/PCメーカーがすでにUEFI用にTPMを所有しているとどうなりますか?
このガイド でわかることから、私はTPMの専門家ではないことを前置きします。TPMの所有権を取得しても、オペレーティングシステムのセキュアブートオプションには影響しません。
TPMの所有権を取得するということは、TPM内のキーを新しい所有権パスワードでリセットすることを意味します。 Microsoft Windowsでは、これは少なくとも、必要な管理権限についてTPMに問い合わせることを意味します。
Secure Boot/UEFI は、ブート時に発生する個別のプロセスです。 TPMのキーを使用しますが、「所有者キー」とは異なります。 TPMは、ブートローダーや管理者権限などを確認するために、ハードウェア内にいくつかの異なるキーを保持しています。