国际可信计算技术和产业应用的发展刘鑫

国际可信计算技术和产业应用的发展NationzTechnologiesInc.November5,2015汇报内容国际可信计算技术的发展国际可信计算产业应用的发展国际可信计算标准展望Confidential&Proprietary©20152汇报内容国际可信计算技术的发展国际可信计算产业应用的发展国际可信计算标准展望Confidential&Proprietary©20153国际可信计算技术的发展国际可信计算技术从TPM

1.2向TPM

2.0迁移2015年6月，国际标准化组织和国际电工委员会信息技术标准联合技术委员会（ISO/IECJTC1,

TheInternationalOrganizationforStandardizationandtheInternationalElectrotechnicalCommission)批准国际可信计算组织(TCG,TrustedComputingGroup)的可信平台模块2.0规范库(TPM

2.0,TrustedPlatformModule2.0)作为ISO/IEC11889:2015发布。ISO/IEC11889:2015得到了全球化支持澳大利亚、比利时、加拿大、中国、捷克、丹麦、芬兰、法国、加纳、爱尔兰、意大利、日本、韩国、黎巴嫩、马来西亚、荷兰、尼日利亚、挪威、俄罗斯联邦、南非、阿联酋、英国、美国Confidential&Proprietary©20154国际可信计算技术的发展安全密钥生成和存储简化的操作模式安全时钟安全日志+平台状态报告真随机数发生源安全数据存储单调计数器密码算法灵活性密钥和数据认证增强的管理模式TPM

2.0新增或增强功能数据保护(sealing)Confidential&Proprietary©20155国际可信计算技术的发展可信平台模块2.0规范库密码算法应用灵活性，新框架支持已有和未来的算法密码算法失效或生命周期结束不需要重新编写标准规范满足各个国家或地区对于密码算法的多样性需求，支持中国SM2（部分）/SM3/SM4密码算法满足不同安全级别对密码算法的应用的需求增加虚拟化支持，为云计算提供应用基础增加用户授权管理模式，简化应用，提高易用性学习中国TCM技术(TrustedCryptographicModule)广泛使用对称密码算法，提高应用性能去除TPM1.2中无用或者实现代价高的安全协议面向嵌入式应用，增加多密钥树管理结构增加安全时钟适应更多安全应用场景TPM2.0与TPM1.2安全协议不兼容，TPM

2.0对于产业是一个新的开始Confidential&Proprietary©20156国际可信计算技术的发展TPM

2.0规范库对中国算法支持的情况密码算法应用约定规范定义一个TPM

2.0的实现实体包含密码算法子系统规范不要求实施特定的密码算法集但是一个TPM

2.0实现实例必须包含至少一个对称密码算法，一个非对称密码算法和一个哈希密码算法已支持的中国密码算法GM/T0002-2012《SM4分组密码算法》TPM_ALG_SM4/TPM2_EncryptDecryptGM/T0003-2012《SM2椭圆曲线公钥密码算法》曲线参数、密钥生成、签名／验签，密钥交换TPM_ALG_SM2/TPM2_Create/PM2_Load/TPM2_CreatePrimary/TPM2_Duplicate/TPM2_Import/TPM2_Certify/TPM2_CertifyCreation/TPM2_EvictControl/TPM2_GetPublic/TPM2_Sign/TPM2_ZGen_2PhaseGM/T0004-2012《SM3密码杂凑算法》TPM_ALG_SM3_256/TPM2_Hash/TPM2_HMAC/TPM2_HMAC_Start/TPM2_HashSequenceStart/TPm2_SequenceComplete/TPM2_EventSequenceComplete/TPM2_PCR_*Confidential&Proprietary©20157国际可信计算技术的发展授权灵活性（增强的授权）由2个授权元素增加到12个授权元素Confidential&Proprietary©20158AuthorizationvalueLocality

AsymmetricsignatureSymmetricsharedsecretSpecificCommandPCRState“PhysicalPresence”SpecificobjectsDuplicationNVWrittenContentsofNVTimeLimited国际可信计算技术的发展SeedStorageKeyStorageKeyHMACKeySealedDataSigningKeyUser-1StorageSigningKeyIT-MigratableSigningKeyCorpSigningKeyKDFSymmetricEncryptionPrimaryKeysRandomlygeneratedConfidential&Proprietary©20159新的密钥管理方式国际可信计算技术的发展KeymanagementoperationsCreateImportDuplicateSeedStorageKeyTPM-createdSigningKeyServer(orpeerTPM)Server-createdSigningKeyTPM2_ImportTPM2_CreateDuplicatableStorageKeyTPM-createdSigningKeyServer(orpeerTPM)Copy-DuplicStorageKeyTPM-createdSigningKeyTPM2_DuplicateConfidential&Proprietary©201510国际可信计算技术的发展11PlatformTPMInitializationDisableself+otherdomainsNV-storageCrypto-servicesPrivacyTPMidentityCrypto-servicesAuthorize/DisableidentityservicesSecurityNV-storageKey+datastorageCrypto-servicesAuthorize/disablesecurityservicesCrypto-eraseofuserdataConfidential&Proprietary©2015汇报内容国际可信计算技术的发展国际可信计算产业应用的发展国际可信计算标准展望Confidential&Proprietary©201512国际可信计算产业应用的发展产业快速向TPM

2.0应用迁移Intel

Skylake平台全面支持TPM

2.0应用Intel

TxT(Trusted

ExecutionTechnology)IntelSGX(Software

Guard

Extensions)Windows10加强支持TPM

2.0应用安全启动／度量启动Bitlockor整盘数据加密虚拟智能卡Windows

Hello/WindowsPassport

(基于FIOD身份认证协议的安全身份认证方案)开源项目快速支持TPM

2.0LinuxKernel4.0支持TPM

2.0驱动Ubuntu

15.10发行版支持TPM

2.0TPM

2.0开源驱动提供IMA(Integrity

Measurement

Architecture)度量接口IBM发布开源TSS

2.0中间件Confidential&Proprietary©201513国际可信计算产业应用的发展多领域应用逐步形成Confidential&Proprietary©201514云终端

－ChromeNotebook智能手机

－波音BlackPhone网络设备

－

交换机、路由器云服务

－

可信计算池国际可信计算产业应用的发展IoT系统可信计算应用实践开始尝试Windows

10

IoT系统应用TPM

2.0Confidential&Proprietary©200915Windows10IoTTPM开源套件树莓派＋TPM

2.0国际可信计算产业应用的发展ECUaHeadUnitAuto-RichAuto-ThinECUcAuto-ThinECUbAuto-ThinECUdAuto-ThinPCR[0]PCR[1]PCR[2]PCR[3]PCR[4]HeadUnitECUaECUbECUcECUd控制中心远程监控整车ECU单元工作状态智能汽车是可信计算潜在新应用方向Confidential&Proprietary©201516汇报内容国际可信计算技术的发展国际可信计算产业应用的发展国际