web-dev-qa-db-ja.com

TPM:署名キーまたは証明IDキー?

私は現在TPMを処理していますが、追加の署名キーが必要な理由がわかりません。代わりに、署名IDキー(AIK)のいずれかを使用して署名することもできますか?異なるキーを使用することは良い習慣ですが、その問題についてより詳細に説明したいと思います。

利点の1つは、署名キーを移行できることです。そのため、plattform/tpmを変更しても、作成された証明書が取り消されるとは限りません。

別の署名鍵の理由は他にありますか?

7
onb

AIKは、2つの署名ベースの操作のみを実行できます。

  • TPM_Quote、AIKを使用してPCRの状態の署名付きステートメントを生成します。これは、リモート認証で使用される操作です。
  • TPM_CertifyKey。別のキー(not AIK)がTPMのストレージ階層にあり、移行できないことを示す署名付きステートメントを生成します。 (明らかに、そのように認定されているキーには、これらのプロパティが必要です。)

特に、AIKはTPM_Signでは使用できません。つまり、任意のデータに署名することはできません。それ以外の場合は、偽の見積もりを生成する可能性があり、リモート認証が壊れます。

(逆に、TPM_Quote必須 AIKを使用します。署名キーを使用することはできません。)

TL; DR:任意のデータに署名するためのキーが必要な場合は、署名キーを使用します。リモート認証を行う場合は、AIKを使用します。

7