在读《可信计算–理论与实践》时,一大堆各种英文简写,很快就看晕了,于是在此整理一下。
TCG:Trusted Computing Group:可信计算组织
TPM:Trusted Platform Module:可信平台模块
TCM:Trusted Cryptography Module:可新密码模块
MTM: Mobile Trusted Module:移动可信模块
DAA:直接匿名功能。
DMA:Direct Memory Access,直接存储器访问
PCA:Privacy Certificate Authority隐私签证机构.
TPM密钥管理
TPM可以提供以下种密钥:
身份密钥(identity key):标示TPM和计算平台身份的密钥
绑定密钥(binding key):用于数据的加密和解密
签名密钥(signing key):用于对用户选定的数据进行签名
存储密钥(storage key):用于保护其他密钥,或将数据封装于计算平台之上
遗留密钥(legacy key):同事兼具绑定和签名密钥的特性。一般不推荐使用
迁移密钥(migrate key):当TPM充当迁移权威时,专用于保护被迁移密钥的特殊密钥类型。ps:此类密钥与可迁移类密钥不是同一概念。
SRK:存储根密钥:在存储保护对象体系中处于根节点位置。存储在TPM内部,永远不在TPM外部使用。
密钥迁移时
被迁移的密钥为 MK,用来保护被迁移的密钥的公钥为PK
MA(migration authority):迁移权威,第三方,用来代管密钥。
身份标示
TCG为TPM设计了两种不同的身份密钥:
EK:背书密钥:只参与少数必要操作,一般不更新。采用rsa算法生成一对密钥,EK的私钥永久储存在TPM内部(只有EK,SRK这两个是这样)
Endorsement,背书,担保
AIK:平台身份密钥:用于频繁的签名操作
PCR:平台配置寄存器,用来安全存储度量结果,长度为160b,与sha-1算法的输出长度保持一致。规范规定TPM至少提供16个PCR,最多230个。
ML:measurement log/list,度量日志/列表
TCM密钥
密码模块密钥:相当于TPM的EK,用于唯一标示安全芯片及其所在计算平台的身份。
PIK:平台身份密钥,相当于TPM的证明身份密钥,均用于对完整性值和其他密钥的数字签名。
PEK:平台加密密钥。
信任根
可信度量根:RTM:Root of Trust for Measurement
可信存储根:RTS
可信报告根:RTR
可信度量根分为静态和动态两种,分别是SRTM和DRTM。
SRTM:静态可信度量根
DRTM:动态可信度量根
CRTM:可信度量根的核心
DRTM有两种技术,分别是AMD和Intel的安全虚拟机(SVM)架构和TXT(Trusted Execution Technology)
SLB:是SVM架构中用于存放隔离环境要执行的代码块,大小为64KB。
SINIT AC模块是TXT技术中用于检查硬件配置的模块。
MLE是在建立的隔离环境中运行的代码,其与SINIT AC模块都需要在隔离环境建立前载入内存。
可信存储根
密钥缓存管理KCM模块。
others
TCB:可信计算基。
存储度量日志SML,用来保存静态信任链建立过程中的软件列表
TPL:Initial Program Loader 初始程序加载
VMM:virtual machine monitor
IMA:Integrity Measurement Architecture,一种完整性度量的架构,04年由IBM公司提出。
完整性挑战协议?
欢迎与我分享你的看法。
转载请注明出处:http://taowusheng.cn/