電子發(fā)燒友網(wǎng)報(bào)道(文/周凱揚(yáng))TPM(受信任平臺(tái)模塊)作為一項(xiàng)基于硬件提供安全功能的技術(shù),可以用于安全地創(chuàng)建與存儲(chǔ)密鑰,確保設(shè)備OS與固件符合可信計(jì)算等應(yīng)用的安全要求。為了符合規(guī)范,比如最新的TPM 2.0,就必須使用TPM安全芯片,將其集成到PC、手機(jī)/平板、IoT設(shè)備或服務(wù)器等產(chǎn)品中。比如Windows 11給出的最低系統(tǒng)要求中,就加入了TPM 2.0安全處理器這一條。但已經(jīng)存在了20多年的TPM技術(shù),并不一定能保證安全性上高枕無(wú)憂。
TPM芯片
在TPM 2.0版本中,英特爾和AMD這樣的廠商已經(jīng)可以將TPM功能集成到芯片組中,而不再需要主板上的獨(dú)立芯片,諸如英特爾的PTT和AMD的fTPM等。但不少產(chǎn)品在使用其他芯片時(shí),為了做到安全可靠還是需要用到第三方的獨(dú)立TPM芯片。
市面上也有不少第三方廠商開(kāi)發(fā)了TPM芯片,諸如意法半導(dǎo)體、英飛凌、國(guó)民技術(shù)和新唐科技等。以英飛凌的OPTIGA TPM系列為例,該系列中既有針對(duì)PC和服務(wù)器進(jìn)行優(yōu)化的SLB 9672 FW15,還有針對(duì)IoT、網(wǎng)絡(luò)設(shè)備與嵌入式系統(tǒng)優(yōu)化的SLB 9672 FW16。這兩者均集成了SPI接口,可以與Windows和Linux系統(tǒng)完美集成,除了支持RSA-4096、AES-256等最新的加密算法外,還支持TPM唯一ID配置、背書密鑰主種子配置等增強(qiáng)安全功能。
不過(guò)SLB 9672在提供消費(fèi)級(jí)質(zhì)量的同時(shí),還支持到-40°到105°的寬工作溫度,所以也適用于一些較為復(fù)雜的IoT環(huán)境。如果對(duì)接口、認(rèn)證之類的有要求的話,還是需要選擇其他的型號(hào),比如I2C接口的SLB 9673,或是通過(guò)工規(guī)JEDEC JESD47D的SLM 9670、通過(guò)車規(guī)AEC-Q100的SLI 9670等。
還有就是國(guó)民技術(shù)的TPM 2.0芯片,Z32H320TC和Z32H330TC。其中Z32H330TC是國(guó)際可信計(jì)算產(chǎn)業(yè)中首個(gè)加載中國(guó)密碼算法和國(guó)際密碼算法的雙算法可信計(jì)算核心產(chǎn)品,包括SM2/SM3/SM4與AES/SHA/RSA等。Z32H330TC不僅完整支持微軟Windows下可信應(yīng)用, 同時(shí)與Intel平臺(tái)可信啟動(dòng)無(wú)縫配合。
在CPU平臺(tái)的支持上,除了常見(jiàn)的英特爾、AMD外,也支持龍芯、飛騰、海光、華芯通等多個(gè)國(guó)內(nèi)計(jì)算平臺(tái)。操作系統(tǒng)的適配上,也已經(jīng)支持了國(guó)內(nèi)的統(tǒng)信UOS、麒麟和中科方德等。除了芯片產(chǎn)品外,國(guó)民技術(shù)還基于該芯片提供了PCIe和USB兩種接口的可信密碼模塊,作為更為便捷的可信計(jì)算實(shí)現(xiàn)方式。
TPM不代表萬(wàn)無(wú)一失
但在系統(tǒng)集成了TPM之后,不代表就真的安全無(wú)破綻了,TPM本身的規(guī)范、固件等依然給到了不少不法之徒可乘之機(jī)。比如近期爆出的漏洞CVE-2023-1017,就可以通過(guò)向TPM 2.0發(fā)送惡意命令,導(dǎo)致TPM芯片/進(jìn)程崩潰,而另一個(gè)漏洞CVE-2023-1018,則可以通過(guò)命令來(lái)讀取或訪問(wèn)TPM中存儲(chǔ)的敏感數(shù)據(jù)。
再者就是AMD的fTPM方案,該方案此前因?yàn)橛跋裣到y(tǒng)性能導(dǎo)致卡頓而被大家詬病,近期又爆出可通過(guò)電壓故障進(jìn)行注入攻擊的問(wèn)題,從而獲取在BitLocker中的密鑰數(shù)據(jù)。不過(guò)該方式雖然不需要物理訪問(wèn)TPM模塊本身,但還是需要物理手段并且進(jìn)行數(shù)個(gè)小時(shí)的攻擊才能攻破fTPM。正是因?yàn)樾酒蛞?guī)范本身存在這些漏洞的可能性,英飛凌、新唐科技等芯片廠商時(shí)刻關(guān)注安全漏洞的同時(shí),也會(huì)推送新的固件,用于解決潛在的入侵問(wèn)題。
小結(jié)
事實(shí)證明,僅靠軟件技術(shù)是難以實(shí)現(xiàn)真正穩(wěn)健的安全環(huán)境方案的,操作系統(tǒng)環(huán)境中存在成千上萬(wàn)種方式繞過(guò)軟件安全措施,所以TPM這樣的硬件解決方案也不可少。但TPM技術(shù)軟硬件結(jié)合的程度決定了任何一環(huán)都不能弱,否則就會(huì)給到這些安全漏洞可乘之機(jī)。
-
TPM
+關(guān)注
關(guān)注
0文章
61瀏覽量
16068
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論