私は現在TPMを処理していますが、追加の署名キーが必要な理由がわかりません。代わりに、署名IDキー(AIK)のいずれかを使用して署名することもできますか?異なるキーを使用することは良い習慣ですが、その問題についてより詳細に説明したいと思います。
利点の1つは、署名キーを移行できることです。そのため、plattform/tpmを変更しても、作成された証明書が取り消されるとは限りません。
別の署名鍵の理由は他にありますか?
AIKは、2つの署名ベースの操作のみを実行できます。
TPM_Quote
、AIKを使用してPCRの状態の署名付きステートメントを生成します。これは、リモート認証で使用される操作です。TPM_CertifyKey
。別のキー(not AIK)がTPMのストレージ階層にあり、移行できないことを示す署名付きステートメントを生成します。 (明らかに、そのように認定されているキーには、これらのプロパティが必要です。)特に、AIKはTPM_Sign
では使用できません。つまり、任意のデータに署名することはできません。それ以外の場合は、偽の見積もりを生成する可能性があり、リモート認証が壊れます。
(逆に、TPM_Quote
必須 AIKを使用します。署名キーを使用することはできません。)
TL; DR:任意のデータに署名するためのキーが必要な場合は、署名キーを使用します。リモート認証を行う場合は、AIKを使用します。