一文讀懂可信計(jì)算技術(shù)與產(chǎn)品生態(tài)
可信計(jì)算的基礎(chǔ)是“可信平臺(tái)模塊”(Trusted Platform Module,TPM),其核心是一顆密碼安全芯片,TPM可為主機(jī)提供三大可信計(jì)算基本功能:一是身份認(rèn)證功能,用于賦予信息終端唯一可信身份, 確保其內(nèi)部運(yùn)行程序合法性, 確立互聯(lián)網(wǎng)終端節(jié)點(diǎn)可信;二是安全度量功能,從技術(shù)上保障信息終端內(nèi)部軟硬件環(huán)境不被非法篡改或利用, 有效預(yù)防底層固件的蠕蟲攻擊;三是密碼服務(wù)功能,提供數(shù)據(jù)加密服務(wù), 使云端存儲(chǔ)、云端數(shù)據(jù)交換等服務(wù)成為可信任的安全應(yīng)用。
TPM的高安全防護(hù)等級(jí)可以有效阻止硬件設(shè)備運(yùn)行BIOS級(jí)別和外設(shè)固件級(jí)別的惡意程序,有效保護(hù)具有計(jì)算能力的設(shè)備,防止非法用戶/設(shè)備訪問(wèn),并提供物理安全級(jí)別的敏感數(shù)據(jù)及密鑰加密保護(hù),安全配置策略等。任何軟件方式的數(shù)據(jù)盜取,通信鏈路上的中間人和重放攻擊,以及本地物理現(xiàn)場(chǎng)的探針、刨片等物理攻擊方式對(duì)TPM芯片來(lái)說(shuō)都不起作用。符合ISO/IEC 11889標(biāo)準(zhǔn)的TPM還支持中國(guó)商用密碼算法體系(SM2/SM3/SM4),使得在數(shù)據(jù)保護(hù)上更加安全。
擁有自己的TPM應(yīng)用,就不用操心防御中間人攻擊,重放攻擊,字典攻擊這些問(wèn)題,即使在TPM指令的通信傳輸協(xié)議不加密的情況下,采用TPM協(xié)議也可以抵御上述網(wǎng)絡(luò)攻擊。有計(jì)算能力的設(shè)備都可以使用TPM,例如小型機(jī)、服務(wù)器、臺(tái)式機(jī)、筆記本、平板電腦、智能手機(jī)、打印機(jī)、手寫板、工業(yè)控制系統(tǒng)、電動(dòng)汽車控制系統(tǒng)、AIoT設(shè)備等,用途非常廣泛。
目前,多個(gè)開源項(xiàng)目對(duì)TPM 2.0的支持顯示出ISO/IEC 11889標(biāo)準(zhǔn)強(qiáng)大的生命力,為新一代標(biāo)準(zhǔn)的廣泛應(yīng)用奠定了基礎(chǔ),也為可信應(yīng)用開發(fā)提供了高端體驗(yàn)。
硬件環(huán)境:
市面上許多計(jì)算平臺(tái)均已支持TPM 2.0,以微軟Surface book為例,Surface Pro 5/6/7/8/9系列已經(jīng)內(nèi)嵌了國(guó)民技術(shù)Z32H330TC可信計(jì)算芯片。
安全BIOS:
基于Z32H330TC的完整性安全度量機(jī)制已經(jīng)集成在設(shè)備BIOS中,可以抵御badBIOS這樣的惡意攻擊。TPM2.0的BIOS驅(qū)動(dòng)和TREE操作代碼可從下面的鏈接獲得:
https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/
OS驅(qū)動(dòng):
Linux Kernel 4.0開始支持TPM 2.0,如Ubuntu 20.04, Fedora 等,完美支持國(guó)民技術(shù)Z32H330TC芯片。
TPM中間件:
開源項(xiàng)目TPM2.0-TSS實(shí)現(xiàn)了TPM2.0的各種API,為上層可信計(jì)算應(yīng)用開發(fā)提供支撐??蓮南旅娴逆溄荧@取TPM2.0中間件資源:
https://github.com/tpm2-software/tpm2-tss
軟件工具:
開源項(xiàng)目TPM 2.0 Tool在TSS 2.0基礎(chǔ)上包裝了TPM 2.0常用的安全操作、密碼服務(wù)操作等功能,可以直接使用。TPM 2.0 Tool資源可從下面鏈接獲?。?/span>
https://github.com/tpm2-software/tpm2-tools
我國(guó)可信計(jì)算起步較早,國(guó)家密碼管理局于2007年12月在國(guó)密局公告第13號(hào)中發(fā)布了《可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》,這是我國(guó)第一個(gè)可信計(jì)算行業(yè)標(biāo)準(zhǔn)。經(jīng)過(guò)10多年的發(fā)展演進(jìn),目前可信計(jì)算標(biāo)準(zhǔn)已由TCM 1.0全面向TCM 2.0演進(jìn),密標(biāo)委組織制定了支撐可信計(jì)算密碼應(yīng)用的機(jī)制、協(xié)議、接口的相關(guān)標(biāo)準(zhǔn)體系,包括:
GM/T 0011 可信計(jì)算 可信密碼支撐平臺(tái)功能與接口規(guī)范
GM/T 0012 可信計(jì)算 可信密碼模塊接口規(guī)范
GM/T 0013 可信計(jì)算 可信密碼模塊接口符合性測(cè)試規(guī)范
GM/T 0058 可信計(jì)算 TCM服務(wù)模塊接口規(guī)范
GM/T 0079 可信計(jì)算平臺(tái)直接匿名證明規(guī)范
GM/T 0082 可信密碼模塊保護(hù)輪廓
GB/T 29829 信息安全技術(shù) 可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范
國(guó)際上,2015年國(guó)際可信計(jì)算組織(Trusted Computing Group,TCG)制定的TPM 2.0 Library Specification正式成為ISO/IEC 11889國(guó)際標(biāo)準(zhǔn),并且首次在ISO國(guó)際標(biāo)準(zhǔn)中成體系支持中國(guó)密碼算法SM2/SM3/SM4。
中國(guó)可信計(jì)算產(chǎn)品如何認(rèn)證?
可信計(jì)算相關(guān)產(chǎn)品屬于商用密碼產(chǎn)品范疇,根據(jù)市場(chǎng)監(jiān)管總局、國(guó)家密碼管理局聯(lián)合發(fā)布的《商用密碼產(chǎn)品認(rèn)證目錄》,與可信計(jì)算相關(guān)的產(chǎn)品認(rèn)證種類有三種:
可信計(jì)算密碼支撐平臺(tái)認(rèn)證
在《商用密碼產(chǎn)品認(rèn)證目錄(第一批)》中,“可信計(jì)算密碼支撐平臺(tái)”類產(chǎn)品依據(jù)GM/T 0011/0012/0058/0028進(jìn)行認(rèn)證,其中GM/T 0028《密碼模塊安全技術(shù)要求》分為安全等級(jí)1-4級(jí)進(jìn)行認(rèn)證。
可信密碼模塊認(rèn)證
為了適應(yīng)TCM標(biāo)準(zhǔn)規(guī)范由1.0向2.0升級(jí),2022年7月市場(chǎng)監(jiān)管總局、國(guó)家密碼管理局發(fā)布的《商用密碼產(chǎn)品認(rèn)證目錄(第二批)》中新增了“可信密碼模塊”產(chǎn)品認(rèn)證種類,其依據(jù)GM/T 0028 和GM/T 0012進(jìn)行認(rèn)證,即所謂TCM 2.0認(rèn)證。作為TPM 2.0協(xié)議的一個(gè)子集,TCM 2.0協(xié)議依據(jù)GM/T 0012測(cè)試認(rèn)證。GM/T 0028則分為安全等級(jí)1-4級(jí)進(jìn)行認(rèn)證。
安全芯片認(rèn)證
單顆芯片實(shí)現(xiàn)的TCM可信密碼模塊屬于密碼“安全芯片”產(chǎn)品認(rèn)證類,在《商用密碼產(chǎn)品認(rèn)證目錄(第一批)》中,安全芯片依據(jù)GM/T 0008-2012《安全芯片密碼檢測(cè)準(zhǔn)則》來(lái)檢測(cè),分為安全等級(jí)1-4級(jí)進(jìn)行認(rèn)證。
快速網(wǎng)絡(luò)身份認(rèn)證(Fast ID Online,F(xiàn)IDO)應(yīng)用是一個(gè)用于身份認(rèn)證的國(guó)際標(biāo)準(zhǔn),F(xiàn)IDO通過(guò)易用的客觀物理事實(shí)如指紋、人臉、虹膜代替口令,統(tǒng)一分布式的認(rèn)證器系統(tǒng),統(tǒng)一開放的基于密碼算法的認(rèn)證協(xié)議,基于風(fēng)險(xiǎn)策略的身份認(rèn)證基礎(chǔ)設(shè)施,來(lái)進(jìn)行可信身份認(rèn)證。對(duì)于用戶來(lái)說(shuō),刷指紋、刷臉等方式訪問(wèn)網(wǎng)絡(luò)服務(wù),勝在用戶體驗(yàn)。
那么FIDO足夠安全嗎?如何保證身份認(rèn)證信息的安全性呢?這就需要可信平臺(tái)模塊(TPM)的參與了。FIDO規(guī)范定義了基于TPM形成安全環(huán)境,以保護(hù)FIDO用戶的網(wǎng)絡(luò)身份驗(yàn)證憑據(jù)。TPM芯片是高等級(jí)的安全芯片,其安全性有足夠保障。
FIDO標(biāo)準(zhǔn)組織聯(lián)合W3C(萬(wàn)維網(wǎng)聯(lián)盟,World Wide Web Consortium)在W3C Member Submission提交的FIDO 2.0: Key Attestation Format規(guī)范中詳細(xì)定義了基于TPM的認(rèn)證器實(shí)現(xiàn),這意味著所有瀏覽器都要支持基于TPM的FIDO認(rèn)證協(xié)議。特別需要說(shuō)明的是,基于ISO/IEC 11889可信平臺(tái)模塊應(yīng)用的FIDO 2.0可以直接使用中國(guó)密碼算法SM2進(jìn)行簽名驗(yàn)證機(jī)制,詳情可參考下面的鏈接:
https://www.w3.org/Submission/fido-key-attestation/
Windows登錄使用的Microsoft Passport基于FIDO標(biāo)準(zhǔn)框架建立,同時(shí)使用了可信平臺(tái)模塊提供的FIDO認(rèn)證密鑰保護(hù)機(jī)制,達(dá)到了領(lǐng)先的安全性水平。認(rèn)證密鑰在TPM中生成,私鑰將永遠(yuǎn)不會(huì)在物理安全芯片之外使用。
Microsoft Edge瀏覽器直接支持FIDO 2.0,W3C Web Authentication,可以直接基于TPM保護(hù)的密鑰進(jìn)行FIDO協(xié)議的身份認(rèn)證,為全球和中國(guó)用戶提供了一致、開放和領(lǐng)先的身份認(rèn)證安全方案。
樹莓派具有電腦的所有基本功能,可以很方便地搭建和開發(fā)出非常豐富的輕量級(jí)AIoT終端應(yīng)用,是AIoT應(yīng)用理想的開發(fā)平臺(tái)。其典型的應(yīng)用環(huán)境包括:已成為流行ARM CPU嵌入式方案的樹莓派開發(fā)平臺(tái);Windows 10 IoT Core操作系統(tǒng);TPM 2.0可信模塊,提供全球一致的安全性;微軟Azure IoT Hub云服務(wù),為物聯(lián)網(wǎng)設(shè)備提供可靠的服務(wù)端數(shù)據(jù)存儲(chǔ)等服務(wù)。這些都是物聯(lián)網(wǎng)行業(yè)主流的技術(shù)應(yīng)用平臺(tái)。
在系統(tǒng)搭建和配置完成后,物聯(lián)網(wǎng)設(shè)備與云服務(wù)之間的接入身份驗(yàn)證基于HMAC密碼算法完成。設(shè)備端的HMAC計(jì)算在TPM中進(jìn)行,服務(wù)端對(duì)計(jì)算結(jié)果進(jìn)行驗(yàn)證,確認(rèn)接入設(shè)備的身份,以防止設(shè)備身份假冒和釣魚等攻擊。TPM芯片是AIoT身份的理想安全載體,基于Windows IoT Core接入Azure IoT Hub云服務(wù)的物聯(lián)網(wǎng)設(shè)備身份應(yīng)用,基本上是即插即用的,充分實(shí)現(xiàn)了物理硬件安全,以及端到云的物聯(lián)網(wǎng)設(shè)備身份可信應(yīng)用。
作為中國(guó)大陸唯一一家可信計(jì)算芯片供應(yīng)商,國(guó)民技術(shù)面向全球市場(chǎng)提供一致化的可信計(jì)算芯片及解決方案,先后推出了全球第一款可信密碼模塊(TCM)安全芯片Z8H172T,第一款國(guó)產(chǎn)可信平臺(tái)模塊2.0(TPM 2.0)安全芯片Z32H320TC等產(chǎn)品。
目前,國(guó)民技術(shù)第三代可信計(jì)算芯片Z32H330TC以及基于Z32H330TC的可信密碼模塊(TCM)產(chǎn)品以高性能、高安全性、兼容國(guó)際和中國(guó)標(biāo)準(zhǔn)為核心競(jìng)爭(zhēng)力,在全球一體化的產(chǎn)業(yè)鏈中被廣泛應(yīng)用。產(chǎn)品與x86,AMD64,ARM,龍芯,申威、RISC-V等主流CPU平臺(tái)兼容,并得到了主流BIOS代碼庫(kù)的支持,與全球主要的計(jì)算機(jī)操作系統(tǒng),如Windows、Linux、中國(guó)統(tǒng)信、中國(guó)麒麟、中國(guó)方德等操作系統(tǒng)無(wú)縫集成。
PCIe屬于高速串行點(diǎn)對(duì)點(diǎn)雙通道高帶寬傳輸,所連接的設(shè)備分配獨(dú)享通道帶寬,不共享總線帶寬,主要支持主動(dòng)電源管理、錯(cuò)誤報(bào)告、端對(duì)端的可靠性傳輸、熱插拔以及服務(wù)質(zhì)量(QOS)等功能。PCI Express 2.0接口的TCM模塊為主機(jī)提供內(nèi)置化的高集成可信密碼模塊,在工程實(shí)施的便利性上具有獨(dú)特的優(yōu)勢(shì),該模塊使用國(guó)民技術(shù)Z32H330TC可信計(jì)算芯片。
另外一種基于Z32H330TC芯片實(shí)現(xiàn)的帶USB接口的TCM模塊,可為主機(jī)提供外置式便捷、高集成的可信密碼模塊,在工程實(shí)施上具有靈活性優(yōu)勢(shì),可適應(yīng)更多應(yīng)用類型。
國(guó)民技術(shù)是國(guó)際可信計(jì)算產(chǎn)業(yè)唯一來(lái)自中國(guó)的可信計(jì)算芯片供應(yīng)商,產(chǎn)品及解決方案主要應(yīng)用于終端計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)通信設(shè)備、嵌入式系統(tǒng)等領(lǐng)域,目前全球市場(chǎng)出貨數(shù)百家OEM/ODM客戶,以過(guò)硬的產(chǎn)品質(zhì)量和優(yōu)質(zhì)的服務(wù)得到全球客戶的廣泛認(rèn)可。
評(píng)論