TPM

Question 1

Was ist ein TPM? (Abkürzung und was es ist)

Answer 1

• Passiver Security Controller
• Auf dem Mainboard fest verbaut
• Phsyikalisch vom Hauptprozessor getrennt
• Widerstandsfähig gegen logische und physische Attacken

Question 2

Wie beinhaltet ein TPM? (Aufbau)

Answer 2

• SHA-1 Engine
• HMAC Engine
• Platform Configuration Registers (PCR)
• Random Number Generator
• Key Generation Engine

Question 3

Welche Funktionen bietet ein TPM?

Answer 3

• Hardware basierter Zufallszahlengenerator
• Fungiert als “Root of Trust”

Question 4

Was versteht man unter TC und insbesondere unter TB? (Abk. + Bedeutung)

Answer 4

TC = Trusted Computer

TB = Trusted Boot

1. Während des Bootens werden die gemessenen Systemkonfigurationenswerte in das TPM (PCR) geschrieben
2. Diese Werte können später für Binding und Sealing und Attestation verwendet werden.

Question 5

Wofür steht CRTM?

Answer 5

Core Root of Trust for Measurement

Question 6

Wie sieht der Vorgang der Messung beim TC aus?

Answer 6

Startpunkt: CRTM

-> Misst Bios

–> Misst Bootloader

—> Misst OS

—-> Misst Applikationen

Question 7

Was versteht man unter Binding?

Answer 7

• Herkömmliche Asymmetrische Verschlüsselung
• Wird genutzt um Daten an ein spezifisches TPM zu binden
• Keine Interaktion mit TPM erforderlich

Question 8

Wie können Daten beim Binding entschlüsselt werden?

Answer 8

Können nur vom TPM wiederhergestellt werden, welches auch den Schlüssel kennt.

Bei non-migratable Keys kann es nur das TPM,

Question 9

Warum ist Platform-Binding nicht möglich?

Answer 9

Wegen Migratable Keys

Question 10

Was versteht man unter Sealing?

Answer 10

• Erweiterung von Binding
• Konfiguration der verschlüsselten Plattform kann verifiziert werden
• Geheimtext enthält den Zustand des Systems zum Zeitpunkt der Verschlüsselung
• Kann Daten an eine bestimmte Konfiguration binden

Question 11

Wann können Daten beim Sealing nur entschlüsselt werden?

Answer 11

Wenn sich das System in einem vordefiniertem (vertrauenswürdigen) Zustand befinde.

Question 12

Was versteht man unter (Remote) Attestation?

Answer 12

• Beglaubigung der Plattform gegenüber Third-Party

Question 13

Wie läuft die Remote Attestation ab?

Answer 13

o Plattform fordert Dienst bei Anbieter an
o Anbieter verlangt Attestation
o Plattform signiert Systemkonfiguration (PCR) mit (AIK) Attestation Identity Key

o Anbieter erhält Attestation
o Anbieter überprüft AIK über Third Party
o Anbieter überprüft Systemkonfiguration der Plattform [anhand PCR]
o Plattform erhält Zugang / wird abgelehnt.

Question 14

Wie kann Sealing nur verwendet werden?

Answer 14

Ausschließlich mit non-migratable Keys

Question 15

Beschreiben Sie

“Migratable Keys”

Answer 15

• Können auf andere TPMs/Plattformen migriert werden
• Dritte haben keine Sicherheit, das die Schlüssel von einem TPM kommen

Question 16

Beschreiben Sie

“non-migratable Keys”

Answer 16

• Können nicht auf andere TPMs/ Plattformen migriert werden
• TPM kann Bescheinigen, das ein Key nicht migrierbar ist
• Kann nur im TPM geschützen Umfeld existieren

Question 17

Wie viele unterschiedliche Schlüssel kann ein TPM generieren?

Answer 17

3 + 6 (9)

Question 18

Welche 3 speziellen Schlüssel kann ein TPM?

Answer 18

1. Endorsement Key
2. Storage Root Key
3. Attestation Identify Key

Question 19

Welche 6 generellen Schlüssel kann ein TPM?

Answer 19

1. Storage
2. Signing
3. Binding
4. Migration
5. Legacy
6. Authchange

Question 20

Zweck Attestation Identity Key (AIK)

Answer 20

1. Bescheinigt aktuelle Plattformkonfiguration
2. Alias für TPM/ Plattform Identität (Endorsement Key)

Question 21

Zweck Storage Keys

Answer 21

1. Kann benutzt werden um andere Schlüssel zu entschlüsseln
2. Storage Root Key (SRK) ist ein spezieller Storage Key
3. Starker Schutz

Question 22

Zweck Binding Keys

Answer 22

Gleichwertig zu traditioneller asymmetrischer Verschlüsselung

Question 23

Zweck Signing Keys

Answer 23

Nachrichten Authentikation

Authentikation TPM internet Berichte

Question 24

Zweck Migration Keys

Answer 24

Ermöglicht TPM als Migrationsautorität zu handeln

Wird verwendet um migrierbare Schlüssel für den Transport auf eine andere Plattform zu sichern

Question 25

Eigenschaften Attestation Identity Key (AIK)

Answer 25

1. AIKs sind non-migratable signing keys
2. Vom TPM Besitzer generiert
3. Eine Plattform kann mehrere AIKs haben

Question 26

Eigenschaften Storage Keys

Answer 26

1. 2048 RSA Ver & Entschlüsselunskey
2. Migrierbar
3. Für Sealing muss key non-migratable sein

Question 27

Eigenschaften Binding Keys

Answer 27

Asymmetrische Ver- und Entschlüsselung (Typischerweise RSA 2048 Bit)

Migrierbar zu anderen Plattformen

Kann nur für Binding-Befehle verwendet werden

Question 28

Eigenschaften Signing Keys

Answer 28

2048 RSA Signing/Verification key Pair

Können zu anderen Plattformen migriert werden

Question 29

Eigenschaften Migration Keys

Answer 29

2048 bit RSA Ver- und Entschlüsselungskey