web-dev-qa-db-ja.com

TPMはIntel Trusted Execution Environment(TXT)にどのようにプロビジョニングされますか?

インテルTXT=が機能するためには、TPMをプロビジョニングする必要があります。インテルはこれを行うためのいくつかのツールを提供していますが、多くは非公開ログインまたはNDAによって保護されています。多くのOEMプラットフォームベンダーは、ボードとマシンをプロビジョニングしますエンドユーザーがTXTを使用できるようにするために、製造時にTPMがTXTと連携するために必要な状態の詳細を見つけるのに苦労しています。

TXT WRT TPMチップのプロビジョニングの詳細は何ですか?

さらに、TXTにはサーバーとクライアントのTPM構成があります。 2つの違いは何ですか?

13
Wilbur Whateley

Intel TXTは、ソフトウェアレイヤーの変更によって攻撃者のアクセスが増加するのを防ぐことができるセキュリティのハードウェアレイヤーを提供するように設計された複雑なシステムです。 TXTは、ファームウェア、BIOS、およびOSロードの既知の良好な状態の格納されたハッシュを使用して、既知の良好な状態の外で何かが変化したことを示すことができます。これは、環境内の潜在的なルートキットを識別するのに役立ちます。

Intelによると、TXTの使用は次の条件によって異なります。

Intel TXTには、Intel VT、Intel TXT対応プロセッサー、チップセット、ACM、対応BIOS、およびIntel TXT互換MLE(OSまたはハイパーバイザー)を備えたサーバーシステムが必要です。さらに、Intel TXTは、Trusted Computing Group( http://www.trustedcomputinggroup.org )によって定義されているように、システムにTPM v1.2いくつかの用途のソフトウェア https://www.intel.com/content/www/us/en/architecture-and-technology/trusted-execution-technology/trusted-execution-technology-security-paper。 html

現在、TXTは当初、ホスト(タイプ2ハイパーバイザー)内の仮想インスタンスを除いて、常に1つのOSのみが使用されることが期待されるワークステーションコンポーネント用に設計されました。これは、タイプ1ハイパーバイザーを介してベアメタルに複数のホストが接続されているサーバーとは対照的です。これには、より動的なTXTシステムを作成する必要があり、最初の起動時にすべての潜在的なホストを読み取ろうとするのではなく、起動OSを起動時に評価します。

ワークステーションとサーバーの違いを超えて、TXTはすべてのオペレーティングシステムまたはすべてのOS構成で機能するわけではありません。例として、Windows 10のすべてのバージョンがintel TXTおよびデバイスガードの使用を許可しているわけではありません。

https://docs.Microsoft.com/en-us/windows-hardware/design/device-experiences/oem-device-guard

構成方法に関係するため、ハードウェア、ファームウェア、OSの選択によって異なります。 Intel構成ガイドを参照してください。

https://software.intel.com/en-us/blogs/2012/09/25/how-to-enable-an-intel-trusted-execution-technology-capable-server

4
Connor Peoples