目前市场上已经部署了超过10亿的TPM,并且几乎所有的商业PC和服务器上都存在,但很少有人知道它们。
TPM2.0规范的可读性很差,尽管大多数的技术规范都是如此。
可信平台身份证明PKI证书
撤销证书一般是把证书列入证书撤销列表(CRL)中来实现
为了获得对某一证书的信任,验证者必须验证三个方面:
1.验证真实性。 证书真实性的验证是基于证书链验证机制的
2.验证有效性。 证书有效性的验证是通过比较当前时间与证书截止时间来进行的
3.验证可用性。 证书可用性的验证是通过证书撤销机制来实现的。
X.509
X.509是一个Public Key Certificates的格式标准,TLS/SSL使用它,TLS/SSL是HTTPS的基础,所以HTTPS也使用它
匿名远程证明协议(群签名、隐私协议分析)
密钥备份及恢复密钥的备份与恢复只能针对解密私钥,签名私钥不能备份
Kerberos Ø Kerberos 是一种可信任的第三方认证服务,是通过传统的对称密码体制提供 TCP/IP 认证服务的。 Ø 过程:客户机向认证服务器( AS )发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。 Ø 组成: AS ( Authentication server )存储用户名和密码以确定登录客户的身份
TGS(Ticket-Granting Sever )为用户和
服务器产生会话密钥,并发放给用户
Ø 优点: 与授权机制相结合,实现了一次性签放的机制,并且签放的票据都有一个有效期,可有效防止重放攻击;支持双向的身份认证,即服务器可以通过身份认证确认客户方的身份,而客户如果需要也可以反向认证服务方的身份; Ø 缺点: 票据有可能在有效期内被重放;管理密钥太多,存在管理问题;无法保证数据的完整性。 平台配置寄存器PCR是TPM的基本特征之一。
