可信计算的硬件防线,TPM芯片
tpm(受信任平台模块)作为一项基于硬件提供安全功能的技术,可以用于安全地创建与存储密钥,确保设备os与固件符合可信计算等应用的安全要求。为了符合规范,比如最新的tpm 2.0,就必须使用tpm安全芯片,将其集成到pc、手机/平板、iot设备或服务器等产品中。比如windows 11给出的最低系统要求中,就加入了tpm 2.0安全处理器这一条。但已经存在了20多年的tpm技术,并不一定能保证安全性上高枕无忧。
tpm芯片
在tpm 2.0版本中,英特尔和amd这样的厂商已经可以将tpm功能集成到芯片组中,而不再需要主板上的独立芯片,诸如英特尔的ptt和amd的ftpm等。但不少产品在使用其他芯片时,为了做到安全可靠还是需要用到第三方的独立tpm芯片。
市面上也有不少第三方厂商开发了tpm芯片,诸如意法半导体、英飞凌、国民技术和新唐科技等。以英飞凌的optiga tpm系列为例,该系列中既有针对pc和服务器进行优化的slb 9672 fw15,还有针对iot、网络设备与嵌入式系统优化的slb 9672 fw16。这两者均集成了spi接口,可以与windows和linux系统完美集成,除了支持rsa-4096、aes-256等最新的加密算法外,还支持tpm唯一id配置、背书密钥主种子配置等增强安全功能。
不过slb 9672在提供消费级质量的同时,还支持到-40°到105°的宽工作温度,所以也适用于一些较为复杂的iot环境。如果对接口、认证之类的有要求的话,还是需要选择其他的型号,比如i2c接口的slb 9673,或是通过工规jedec jesd47d的slm 9670、通过车规aec-q100的sli 9670等。
还有就是国民技术的tpm 2.0芯片,z32h320tc和z32h330tc。其中z32h330tc是国际可信计算产业中首个加载中国密码算法和国际密码算法的双算法可信计算核心产品,包括sm2/sm3/sm4与aes/sha/rsa等。z32h330tc不仅完整支持微软windows下可信应用, 同时与intel平台可信启动无缝配合。
在cpu平台的支持上,除了常见的英特尔、amd外,也支持龙芯、飞腾、海光、华芯通等多个国内计算平台。操作系统的适配上,也已经支持了国内的统信uos、麒麟和中科方德等。除了芯片产品外,国民技术还基于该芯片提供了pcie和usb两种接口的可信密码模块,作为更为便捷的可信计算实现方式。
tpm不代表万无一失
但在系统集成了tpm之后,不代表就真的安全无破绽了,tpm本身的规范、固件等依然给到了不少不法之徒可乘之机。比如近期爆出的漏洞cve-2023-1017,就可以通过向tpm 2.0发送恶意命令,导致tpm芯片/进程崩溃,而另一个漏洞cve-2023-1018,则可以通过命令来读取或访问tpm中存储的敏感数据。
再者就是amd的ftpm方案,该方案此前因为影像系统性能导致卡顿而被大家诟病,近期又爆出可通过电压故障进行注入攻击的问题,从而获取在bitlocker中的密钥数据。不过该方式虽然不需要物理访问tpm模块本身,但还是需要物理手段并且进行数个小时的攻击才能攻破ftpm。正是因为芯片或规范本身存在这些漏洞的可能性,英飞凌、新唐科技等芯片厂商时刻关注安全漏洞的同时,也会推送新的固件,用于解决潜在的入侵问题。
小结
事实证明,仅靠软件技术是难以实现真正稳健的安全环境方案的,操作系统环境中存在成千上万种方式绕过软件安全措施,所以tpm这样的硬件解决方案也不可少。但tpm技术软硬件结合的程度决定了任何一环都不能弱,否则就会给到这些安全漏洞可乘之机。
在人工智能的帮助下巨型气球稳稳地待在原地数周
刀片锋利度测试仪
三相用电设备组计算负荷的确定-按经济电流密度选择导线和电缆截面
如何利用无人机以解决群岛的物流问题
小米澎湃S2处理器曝光:目前开始量产,即将面世
可信计算的硬件防线,TPM芯片
诺基亚3310手机电池电路
特斯拉公布第四季度财报,将给出公司2019年一季度的业绩指引
联发科高管:今年将会有多款搭载天玑1200的移动终端发布
基于EMQX平台自建MQTT服务器并实现通讯
滤波天线在现代通信的引人瞩目与应用
ABB变频器型号及功率对应
倒装cob光源容易损坏么?与正装COB相比,倒装COB有何优势?
探讨自动驾驶汽车的安全性问题
电缆故障点的查找方法都有哪些
航空电子设备PCB组件的动态分析
耐高温、低损耗双轴电缆由Molex推出
DC Link Capacitors选型计算
Xilinx面向多种语言的SDAccel开发环境通过Khronos一致性测试
钧崴电子创业板IPO过会!电流感测精密电阻排名全球第四,募资11.27亿大扩产
tpm芯片
在tpm 2.0版本中,英特尔和amd这样的厂商已经可以将tpm功能集成到芯片组中,而不再需要主板上的独立芯片,诸如英特尔的ptt和amd的ftpm等。但不少产品在使用其他芯片时,为了做到安全可靠还是需要用到第三方的独立tpm芯片。
市面上也有不少第三方厂商开发了tpm芯片,诸如意法半导体、英飞凌、国民技术和新唐科技等。以英飞凌的optiga tpm系列为例,该系列中既有针对pc和服务器进行优化的slb 9672 fw15,还有针对iot、网络设备与嵌入式系统优化的slb 9672 fw16。这两者均集成了spi接口,可以与windows和linux系统完美集成,除了支持rsa-4096、aes-256等最新的加密算法外,还支持tpm唯一id配置、背书密钥主种子配置等增强安全功能。
不过slb 9672在提供消费级质量的同时,还支持到-40°到105°的宽工作温度,所以也适用于一些较为复杂的iot环境。如果对接口、认证之类的有要求的话,还是需要选择其他的型号,比如i2c接口的slb 9673,或是通过工规jedec jesd47d的slm 9670、通过车规aec-q100的sli 9670等。
还有就是国民技术的tpm 2.0芯片,z32h320tc和z32h330tc。其中z32h330tc是国际可信计算产业中首个加载中国密码算法和国际密码算法的双算法可信计算核心产品,包括sm2/sm3/sm4与aes/sha/rsa等。z32h330tc不仅完整支持微软windows下可信应用, 同时与intel平台可信启动无缝配合。
在cpu平台的支持上,除了常见的英特尔、amd外,也支持龙芯、飞腾、海光、华芯通等多个国内计算平台。操作系统的适配上,也已经支持了国内的统信uos、麒麟和中科方德等。除了芯片产品外,国民技术还基于该芯片提供了pcie和usb两种接口的可信密码模块,作为更为便捷的可信计算实现方式。
tpm不代表万无一失
但在系统集成了tpm之后,不代表就真的安全无破绽了,tpm本身的规范、固件等依然给到了不少不法之徒可乘之机。比如近期爆出的漏洞cve-2023-1017,就可以通过向tpm 2.0发送恶意命令,导致tpm芯片/进程崩溃,而另一个漏洞cve-2023-1018,则可以通过命令来读取或访问tpm中存储的敏感数据。
再者就是amd的ftpm方案,该方案此前因为影像系统性能导致卡顿而被大家诟病,近期又爆出可通过电压故障进行注入攻击的问题,从而获取在bitlocker中的密钥数据。不过该方式虽然不需要物理访问tpm模块本身,但还是需要物理手段并且进行数个小时的攻击才能攻破ftpm。正是因为芯片或规范本身存在这些漏洞的可能性,英飞凌、新唐科技等芯片厂商时刻关注安全漏洞的同时,也会推送新的固件,用于解决潜在的入侵问题。
小结
事实证明,仅靠软件技术是难以实现真正稳健的安全环境方案的,操作系统环境中存在成千上万种方式绕过软件安全措施,所以tpm这样的硬件解决方案也不可少。但tpm技术软硬件结合的程度决定了任何一环都不能弱,否则就会给到这些安全漏洞可乘之机。
在人工智能的帮助下巨型气球稳稳地待在原地数周
刀片锋利度测试仪
三相用电设备组计算负荷的确定-按经济电流密度选择导线和电缆截面
如何利用无人机以解决群岛的物流问题
小米澎湃S2处理器曝光:目前开始量产,即将面世
可信计算的硬件防线,TPM芯片
诺基亚3310手机电池电路
特斯拉公布第四季度财报,将给出公司2019年一季度的业绩指引
联发科高管:今年将会有多款搭载天玑1200的移动终端发布
基于EMQX平台自建MQTT服务器并实现通讯
滤波天线在现代通信的引人瞩目与应用
ABB变频器型号及功率对应
倒装cob光源容易损坏么?与正装COB相比,倒装COB有何优势?
探讨自动驾驶汽车的安全性问题
电缆故障点的查找方法都有哪些
航空电子设备PCB组件的动态分析
耐高温、低损耗双轴电缆由Molex推出
DC Link Capacitors选型计算
Xilinx面向多种语言的SDAccel开发环境通过Khronos一致性测试
钧崴电子创业板IPO过会!电流感测精密电阻排名全球第四,募资11.27亿大扩产