1.可信打算带来哪些好处?
可信打算的根本是“可信平台模块”(Trusted Platform Module,TPM),其核心是一颗密码安全芯片,TPM可为主机供应三大可信打算基本功能:一是身份认证功能,用于授予信息终端唯一可信身份, 确保其内部运行程序合法性, 确立互联网终端节点可信;二是安全度量功能,从技能上保障信息终端内部软硬件环境不被造孽修改或利用, 有效预防底层固件的蠕虫攻击;三是密码做事功能,供应数据加密做事, 使云端存储、云端数据交流等做事成为可信任的安全运用。
TPM的高安全防护等级可以有效阻挡硬件设备运行BIOS级别和外设固件级别的恶意程序,有效保护具有打算能力的设备,防止造孽用户/设备访问,并供应物理安全级别的敏感数据及密钥加密保护,安全配置策略等。任何软件办法的数据盗取,通信链路上的中间人和重放攻击,以及本地物理现场的探针、刨片等物理攻击办法对TPM芯片来说都不起浸染。符合ISO/IEC 11889标准的TPM还支持中国商用密码算法体系(SM2/SM3/SM4),使得在数据保护上更加安全。
2.TPM的运用处景是什么?
拥有自己的TPM运用,就不用操心防御中间人攻击,重放攻击,字典攻击这些问题,纵然在TPM指令的通信传输协议不加密的情形下,采取TPM协议也可以抵御上述网络攻击。有打算能力的设备都可以利用TPM,例如小型机、做事器、台式机、条记本、平板电脑、智好手机、打印机、手写板、工业掌握系统、电动汽车掌握系统、AIoT设备等,用场非常广泛。
3.可信打算产品开拓生态如何?
目前,多个开源项目对TPM 2.0的支持显示出ISO/IEC 11889标准强大的生命力,为新一代标准的广泛运用奠定了根本,也为可信运用开拓供应了高端体验。
硬件环境:
市情上许多打算平台均已支持TPM 2.0,以微软Surface book为例,Surface Pro 5/6/7/8/9系列已经内嵌了国民技能Z32H330TC可信打算芯片。
安全BIOS:
基于Z32H330TC的完全性安全度量机制已经集成在设备BIOS中,可以抵御badBIOS这样的恶意攻击。TPM2.0的BIOS驱动和TREE操作代码可从下面的链接得到:
https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/
OS驱动:
Linux Kernel 4.0开始支持TPM 2.0,如Ubuntu 20.04, Fedora 等,完美支持国民技能Z32H330TC芯片。
TPM中间件:
开源项目TPM2.0-TSS实现了TPM2.0的各种API,为上层可信打算运用开拓供应支撑。可从下面的链接获取TPM2.0中间件资源:
https://github.com/tpm2-software/tpm2-tss
软件工具:
开源项目TPM 2.0 Tool在TSS 2.0根本上包装了TPM 2.0常用的安全操作、密码做事操作等功能,可以直策应用。TPM 2.0 Tool资源可从下面链接获取:
https://github.com/tpm2-software/tpm2-tools
4.可信打算标准有哪些?
我国可信打算起步较早,国家密码管理局于2007年12月在国密局公告第13号中发布了《可信打算密码支撑平台功能与接口规范》,这是我国第一个可信打算行业标准。经由10多年的发展演进,目前可信打算标准已由TCM 1.0全面向TCM 2.0演进,密标委组织制订了支撑可信打算密码运用的机制、协议、接口的干系标准体系,包括:
GM/T 0011 可信打算 可信密码支撑平台功能与接口规范
GM/T 0012 可信打算 可信密码模块接口规范
GM/T 0013 可信打算 可信密码模块接口符合性测试规范
GM/T 0058 可信打算 TCM做事模块接口规范
GM/T 0079 可信打算平台直接匿名证明规范
GM/T 0082 可信密码模块保护轮廓
GB/T 29829 信息安全技能 可信打算密码支撑平台功能与接口规范
国际上,2015年国际可信打算组织(Trusted Computing Group,TCG)制订的TPM 2.0 Library Specification正式成为ISO/IEC 11889国际标准,并且首次在ISO国际标准中成体系支持中国密码算法SM2/SM3/SM4。
5.中国可信打算产品如何认证?
可信打算干系产品属于商用密码产品范畴,根据市场监管总局、国家密码管理局联合发布的《商用密码产品认证目录》,与可信打算干系的产品认证种类有三种:
可信打算密码支撑平台认证
在《商用密码产品认证目录(第一批)》中,“可信打算密码支撑平台”类产品依据GM/T 0011/0012/0058/0028进行认证,个中GM/T 0028《密码模块安全技能哀求》分为安全等级1-4级进行认证。
可信密码模块认证
为了适应TCM标准规范由1.0向2.0升级,2022年7月市场监管总局、国家密码管理局发布的《商用密码产品认证目录(第二批)》中新增了“可信密码模块”产品认证种类,其依据GM/T 0028 和GM/T 0012进行认证,即所谓TCM 2.0认证。作为TPM 2.0协议的一个子集,TCM 2.0协议依据GM/T 0012测试认证。GM/T 0028则分为安全等级1-4级进行认证。
安全芯片认证
单颗芯片实现的TCM可信密码模块属于密码“安全芯片”产品认证类,在《商用密码产品认证目录(第一批)》中,安全芯片依据GM/T 0008-2012《安全芯片密码检测准则》来检测,分为安全等级1-4级进行认证。
二、可信打算在网络身份认证中的运用
FIDO身份认证框架
网络安全事宜频发,已经表露的事宜不过是浩瀚安全事宜中的冰山一角。要办理网络安全问题,首先必须办理网络身份可信问题,干系根本举动步伐必不可少。技能层面上,人或物接入网络并与身份认证根本举动步伐交互时,须要分布式的身份采集/认证子系统,为个人、通信做事和其它各种类型的做事供应平台,这些要素从技能体系上构成了网络身份认证的框架。
快速网络身份认证(Fast ID Online,FIDO)运用是一个用于身份认证的国际标准,FIDO通过易用的客不雅观物理事实如指纹、人脸、虹膜代替口令,统一分布式的认证器系统,统一开放的基于密码算法的认证协议,基于风险策略的身份认证根本举动步伐,来进行可信身份认证。对付用户来说,刷指纹、刷脸等办法访问网络做事,胜在用户体验。
那么FIDO足够安全吗?如何担保身份认证信息的安全性呢?这就须要可信平台模块(TPM)的参与了。FIDO规范定义了基于TPM形成安全环境,以保护FIDO用户的网络身份验证凭据。TPM芯片是高档级的安全芯片,其安全性有足够保障。
FIDO标准组织联合W3C(万维网同盟,World Wide Web Consortium)在W3C Member Submission提交的FIDO 2.0: Key Attestation Format规范中详细定义了基于TPM的认证器实现,这意味着所有浏览器都要支持基于TPM的FIDO认证协议。特殊须要解释的是,基于ISO/IEC 11889可信平台模块运用的FIDO 2.0可以直策应用中国密码算法SM2进行署名验证机制,详情可参考下面的链接:
https://www.w3.org/Submission/fido-key-attestation/
Windows可信身份认证运用
Windows登录利用的Microsoft Passport基于FIDO标准框架建立,同时利用了可信平台模块供应的FIDO认证密钥保护机制,达到了领先的安全性水平。认证密钥在TPM中天生,私钥将永久不会在物理安全芯片之外利用。
Microsoft Edge浏览器直接支持FIDO 2.0,W3C Web Authentication,可以直接基于TPM保护的密钥进行FIDO协议的身份认证,为环球和中国用户供应了同等、开放和领先的身份认证安全方案。
AIoT设备接入身份运用
树莓派具有电脑的所有基本功能,可以很方便地搭建和开拓出非常丰富的轻量级AIoT终端运用,是AIoT运用空想的开拓平台。其范例的运用环境包括:已成为盛行ARM CPU嵌入式方案的树莓派开拓平台;Windows 10 IoT Core操作系统;TPM 2.0可信模块,供应环球同等的安全性;微软Azure IoT Hub云做事,为物联网设备供应可靠的做事端数据存储等做事。这些都是物联网行业主流的技能运用平台。
在系统搭建和配置完成后,物联网设备与云做事之间的接入身份验证基于HMAC密码算法完成。设备真个HMAC打算在TPM中进行,做事端对打算结果进行验证,确认接入设备的身份,以防止设备身份假冒和钓鱼等攻击。TPM芯片是AIoT身份的空想安全载体,基于Windows IoT Core接入Azure IoT Hub云做事的物联网设备身份运用,基本上是即插即用的,充分实现了物理硬件安全,以及端到云的物联网设备身份可信运用。
三、国民技能可信打算产品办理方案
作为中国大陆唯一一家可信打算芯片供应商,国民技能面向环球市场供应同等化的可信打算芯片及办理方案,先后推出了环球第一款可信密码模块(TCM)安全芯片Z8H172T,第一款国产可信平台模块2.0(TPM 2.0)安全芯片Z32H320TC等产品。
目前,国民技能第三代可信打算芯片Z32H330TC以及基于Z32H330TC的可信密码模块(TCM)产品以高性能、高安全性、兼容国际和中国标准为核心竞争力,在环球一体化的家当链中被广泛运用。产品与x86,AMD64,ARM,龙芯,申威、RISC-V等主流CPU平台兼容,并得到了主流BIOS代码库的支持,与环球紧张的打算机操作系统,如Windows、Linux、中国统信、中国麒麟、中国方德等操作系统无缝集成。
基于Z32H330TC的PCIe可信密码模块(TCM)
PCIe属于高速串行点对点双通道高带宽传输,所连接的设备分配独享通道带宽,不共享总线带宽,紧张支持主动电源管理、缺点报告、端对真个可靠性传输、热插拔以及做事质量(QOS)等功能。PCI Express 2.0接口的TCM模块为主机供应内置化的高集成可信密码模块,在工程履行的便利性上具有独特的上风,该模块利用国民技能Z32H330TC可信打算芯片。
基于Z32H330TC的USB可信密码模块(TCM)
其余一种基于Z32H330TC芯片实现的带USB接口的TCM模块,可为主机供应外置式便捷、高集成的可信密码模块,在工程履行上具有灵巧性上风,可适应更多运用类型。
国民技能是国际可信打算家当唯一来自中国的可信打算芯片供应商,产品及办理方案紧张运用于终端打算机、做事器、网络通信设备、嵌入式系统等领域,目前环球市场出货数百家OEM/ODM客户,以过硬的产品质量和优质的做事得到环球客户的广泛认可。
