可信计算建立连接
度量:该信任链以BIOS引导区与TPM为信任根,其中,BIOS引导区为可信度量根(RTM),TPM为可信存储根(RTS)、可信报告根(RTR)。从BIOS引导区出发,到OS Loader、再到 OS、应用,构成一条信任链。沿着这条信任链,一级度量一级,一级信任一级,确保平台资源的完整性。
存储:由于可信平台模块存储空间有限,所以,采用度量扩展的
可信计算组报价
可信计算建立连接
度量:该信任链以BIOS引导区与TPM为信任根,其中,BIOS引导区为可信度量根(RTM),TPM为可信存储根(RTS)、可信报告根(RTR)。从BIOS引导区出发,到OS Loader、再到 OS、应用,构成一条信任链。沿着这条信任链,一级度量一级,一级信任一级,确保平台资源的完整性。
存储:由于可信平台模块存储空间有限,所以,采用度量扩展的方法(即现有度量值和新度量值相连再次散列)来记录和存储度量值到可信平台模块的PCR中,同时将度量对象的详细信息和度量结果作为日志存储在磁盘中。存储在磁盘中的度量日志和存储在PCR中的度量值是相互印证的,防止磁盘中的日志被篡改。
可信计算
可信计算常受到的一个扮用的是,封装存福可能阻止h界户将封诺的文件移动助新渐的分算凯。这个保期同能来宜于糟鲜的许设计动纳容漫供绺的意实战的因规。TFM规甜的迁移动分要求-些特往美主的文并只联家t讯阙蜒用明安全挂型到的期凯上,如眼-个l旧型号的芯片不再生产,就根本不可能将数据转移到新计算机;那些数据将于旧计算机—同长眠。
此外,批评者还推捷到盯TPMA可以强制剃用户按变明粜软件,低如确到撞乐文中只能扭图里在阖的妁会姆加唱片公司的州跺上播故。,同祥一个新国躲却可能要来甲户正没波用转定的资理楚后,才分许下数创们门的文坟章。俄被软年可能胜杂部规站士的被变化后禁止阅读的新闻。这种新版本限制的实施将允许杂志通过修改或删除文章来“重写历史”。即使用户将的文章存储在自己的计算机中,阅读软件发现网站变化后,也可能拒绝阅读请求。
可信计算原理介绍
传统信息安全厂商的做法有点像医生给,感冒了给其治感冒,受伤了给其治伤。信息安全厂商的做法是,你的操作系统也漏洞,我给你打上补丁。你的操作系统上病毒了,我通毒软件给你清除病毒。病毒也是通特征码的方式来实现,即毒厂商先捕获了这个病毒,分析这个病毒的特征码,加上病毒库,这样毒软件才能查某个病毒。如果毒软件没有及时更新病毒库,则无法查杀这个新的病毒了。这也是为什么传统杀毒软件只要我们一开机就让我们更新的原因。以上的方法,更存在一定的滞后性。而可信计算使用一种新的思路实现信息安全,即从操作系统底层入手,应用程序想在操作系统上运行,必须经信计算基的认证,只有经认证的程序才可以在操作系统上运行,未经认证的程序不能运行
上述度量检测过程分为静态度量和动态度量两种。静态度量通常指在运行环境初装或重启时对其镜像的度量。度量是逐级的,通常先启动的软件对后一级启动的软件进行度量,度量值验证成功则标志着可信链从级软件向后一级的成功传递。以操作系统启动为例,可信操作系统启动时基于硬件的可信启动链,对启动链上的UEFI、loader、OS的image进行静态度量,静态度量的结果通过云上可信管理服务来验证,以判断系统是否被改动。动态度量和验证指在系统运行时动态获取其运行特征,根据规则或模型分析判断系统是否运行正常。
(作者: 来源:)
