「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- マザーボードに搭載するセキュリティチップ
- リソースの限られたパッシブ コンポーネント
- 以下を 1 つのコンポーネントにまとめたもの。
- RSA 2048 ビット キー ジェネレーター
- 乱数ジェネレーター
- EK?、SRK?、AIK?キーを格納する不揮発性メモリ
- 暗号化、暗号化解除、署名を行う暗号化エンジン
- PCR?とRSA キーを格納する不揮発性メモリ
- ハードウェア ベースのセキュリティ関連の関数を提供する。
- セキュリティで保護された暗号化プロセッサが暗号化の操作を実行するために用意されている。
- 複数の物理的なセキュリティ メカニズム、改ざんされ難くすることが含まれている。
- 処理に独自の内部ファームウェアおよび論理回路を使用するため、
OSに依存せず、OSやAPPに存在する可能性がある脆弱性にさらされることが無い。
構成証明 †
- TPM キーの構成証明は、キーが TPM にバインドされていることを暗号で証明するプロトコル。
- 構成証明を使うことで、特定の暗号化操作が特定のコンピューターのTPMで行われたことを保証できる。
仕組み †
CAは、EKPubまたはEKCert経由でTPMの信頼を確立。
EK(保証キー) †
- TPM には、保証キーと呼ばれる非対称キーのペア (RSA サイズ 2048 ビット)が(製造時から)埋め込まれている。
- TPM の身分証明書として機能する
- すべての TPM を識別できる。
- 変更、削除したりすることはできない。
- 保証キーには、多くの場合、1 つまたは 2 つのデジタル証明書が付属する。
EKpub †
- 保証キーと呼ばれる非対称キーのペア (RSA サイズ 2048 ビット)の公開キー
- 所有者パスワードの定義ハッシュを含む TPM の所有権を得る場合など、機密性の高いパラメタを安全に送るために使われる。
EKPriv †
- 保証キーと呼ばれる非対称キーのペア (RSA サイズ 2048 ビット)の秘密キー
- AIKなどのセカンダリ キーを作成する際に使われる。
EK(保証キー)証明書 †
- EKPubの製造元から発行されたEK証明書(TPM を初めて初期化するときに作成される)
- ローカル プロセス、アプリケーション、クラウド サービスに対して TPM の信頼性
(例えば、特定のメーカによって製造された本物の TPM であること)を証明するために使われる。
プラットフォーム証明書 †
特定の TPM が特定のデバイスに統合されていることを示す。
ストレージ ルート キー †
- ストレージ ルート キーはユーザが TPM の所有権を取得するときに作成される。
- 都度、作成される TPM キーが TPM なしで使用されることがないように保護する事が目的。
所有者パスワード †
- 所有者パスワードを設定できるユーザが TPM を所有していることになる。
- 1 つの TPM に設定できる所有者パスワードは 1 つだけ。
- パスワードを知っているすべてのユーザーが事実上の TPM 所有者になる。
キーの作成 †
"ラッピング" / "バインディング" †
TPM が組み込まれたコンピューターは、TPM だけが暗号化を解除できるように、暗号化キーを作成して、キーを暗号化できる。
"封印" / "開封" †
- 封印
特定のプラットフォーム測定値に関連付けられたキーを作成。
- 開封
プラットフォーム測定値がキー作成時の値と一致する場合にのみラップ解除。
TPM キー †
キーの組のプライベート部分 †
- キーの組のプライベート部分は、OSで制御されるメモリとは別に保持される。
- 署名と、TPM によって定義された限られた操作にだけ使うことができる。
- キーを 封印できるので、キーを使用するために開封するまでは、
システムの状態に関して一定の保証 (システムの "信頼性" を規定する保証)できる。
AIK(認証IDキー) †
- 非対称キーのペア (RSA サイズ 2048 ビット)
秘密キーにより、 TPM 2.0 の認証機能を使ってデバイスの正常性をレポートする。
- 対応する証明書は、AIK(認証IDキー)証明書
- TPMで、AIK(認証IDキー)を発行すると、AIK(認証IDキー)証明書が生成される??
- これは、AIK(認証IDキー)が同じ TPM で生成されていることを ID プロバイダーに証明するための認証要求として使用できる。
Windows 10 にアップグレードする既存のデバイスの多くは、TPM がないか、TPM に保証証明書が含まれていません。これらのデバイスに対応するために、Windows 10 では、保証証明書がなくても、AIK 証明書を発行できます。そうした AIK 証明書は、Microsoft クラウド CA によって発行されたものではありません。この証明書は、製造時にデバイスに書き込まれた保証証明書ほどの信頼性はありませんが、TPM がない場合の Microsoft Passport などの高度なシナリオとの互換性は確保されます。
発行された AIK 証明書には、認証プロセス中に保証証明書が使われたことを証明するために特別な OID が追加されます。証明書利用者は、この情報を利用して、保証証明書なしで AIK 証明書を使って証明されたデバイスを拒否するか承諾するかを決めることができます。また、保証証明書なしで AIK 証明書によって証明されたデバイスから価値の高い資産へのアクセスを許可しないこともできます。
参考 †
Tags: :認証基盤