6

多个 TPM 模块能不能串联?

 2 years ago
source link: https://www.v2ex.com/t/823444
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

V2EX  ›  信息安全

多个 TPM 模块能不能串联?

  yhvictor · 21 小时 57 分钟前 · 1545 次点击
RT,都说国内用美产 TPM ,国外用国产 TPM 。
最近突发奇想,能不能把两个 TPM 串联起来一起用,放个国内的放个国外的。

那么有这种支持的软件驱动么?
如果没有的话,硬件上做个芯片带两个 TPM 槽,自己作为 TPM 的难度大么。
28 条回复    2021-12-22 00:26:50 +08:00

singerll

singerll      21 小时 33 分钟前 via Android

你能把 cpu ,内存串联吗?就算串联个数码管还得上锁存器呢,直接串联芯片做梦呢。
硬件直接集成两个芯片难度肯定不大,就跟你想往自行车上装四个轮胎一样,难度不大,只要脑子正常都不会干。

yhvictor

yhvictor      20 小时 16 分钟前

@singerll 你这是生活受了多大磨难。。。

des

des      20 小时 13 分钟前 via iPhone

那密钥存 a 里边还是 b 里边?还是一个存一半?

yhvictor

yhvictor      20 小时 6 分钟前

@des 各存一个啊。
加密解密都是各过一遍。

Halry

Halry      20 小时 5 分钟前 via iPhone

如果这样那可信任根找谁呢,芯片也是 i 或者 a 的

des

des      20 小时 2 分钟前 via iPhone

@yhvictor 先不说能不能做,你这不是放大了攻击面吗?

yhvictor

yhvictor      20 小时 0 分钟前

@des 不是啊
两次加密,如果一个被破解了,还有另一个在能保护。
不存在弱化的。

kokutou

kokutou      20 小时 0 分钟前 via Android

工信部要求不能存在这种带密钥的外国加密设备或系统。。。
你做进去了,就算没启用也不行。

yhvictor

yhvictor      19 小时 58 分钟前

@kokutou 可以这么弄,就说怕国内厂商不靠谱,我集成俩国内的 TPM 。
后面我自己换芯片总可以把。 :D

kokutou

kokutou      19 小时 36 分钟前 via Android

没哪个厂会自己在自己电脑里埋个炸弹。
2 个东西要分别测试,都是要钱的。
商业上不可能支持这种想法。

zachgenius

zachgenius      19 小时 1 分钟前

没必要啊......就像给家门入口安装两个防盗门, 增加费用不说, 真没必要. 而且攻击面增大, bug 率更高. 这不像数据库主从备份问题, 多一个备份多一个保障. 多放一个 tpm, 玩 side channel 的可就更开心了

wangyu17455

wangyu17455      18 小时 56 分钟前

我记着有个说法是用不同加密方法叠加加密好像并不能提升安全性反而会造成漏洞(只是听说)

err1y

err1y      17 小时 55 分钟前 via iPhone

可以了解一下内生安全,拟态防御等技术,以及这两天公布的(但是并没有多少信息的)国产玄武芯:esw5610

dianso

dianso      15 小时 18 分钟前

买根绳子绑起来

jim9606

jim9606      15 小时 8 分钟前

如果只是用作密钥容器的话应该是可以的吧。虽然没听说有哪家的安全产品支持这种用法。


@wangyu17455 这个是针对加密算法的说法,题主讨论的主要是 TPM 硬件厂商可能存在侧信道或者后门的问题。

yhvictor

yhvictor      13 小时 0 分钟前 via iPhone

@jim9606 这么多回复终于看到知道我什么意思的了……感动

主要是 tpm 文档太难找了

learningman

learningman      12 小时 57 分钟前

@yhvictor #7 你先理解一下 tpm 吗
不是上两把锁坏了一把还有一把,他们不是并联是串联的,一个挂了就都没了

yhvictor

yhvictor      12 小时 49 分钟前

@learningman 没懂你什么意思

TPM 我感觉就俩函数,加密 y=f(x),解密 x=f-1(x)
另个一 TPM 如果函数是 g

那么串联就是加密 y=g(f(x)), 解密 x=f-1(g-1(y))

这跟锁坏没坏什么关系

learningman

learningman      12 小时 35 分钟前

@yhvictor #18 这两函数是闭包,里面还有变量的,安全就是因为数据放里边去了

dingwen07

dingwen07      12 小时 15 分钟前 via iPhone

你设个开机 pin 码比啥都强

cccer

cccer      11 小时 28 分钟前

@yhvictor TPM 只是生成和存储密钥的,加密是由 CPU 或相关的加速卡实现。

cccer

cccer      11 小时 25 分钟前

@yhvictor 两个 TPM 存储两个密钥,然后你还要修改相关应用(比如 Bitlocker )让他们支持去读取和使用两个密钥。

adfs

adfs      11 小时 22 分钟前 via Android

pc 的主可以自己家 tpm 模块,你可以试试

adfs

adfs      11 小时 21 分钟前 via Android

@adfs pc 的主板可以自己加 tpm 模块,你可以试试

jim9606

jim9606      8 小时 53 分钟前

@yhvictor 目前我的理解是 TPM 主要是利用 PCR 保证设备可信,这样可以实现无密码解锁,目前 Android 实现设备安全的方法与这个类似。TPM 无密码保护可以防止设备被盗导致的数据泄漏,这也是我认为非常适合消费级用户需求的用法。希望更高安全性的应该使用 TPM+PIN 联合保护。至于密钥托管,YubiKey 等 FIDO 方案灵活性更佳。如果希望 TPM 托管的话,Windows 目前可以使用 Microsoft Platform Crypto Provider 实现 TPM 托管密钥。

以前在 V2 跟别人讨论过 TPM 对 Windows 的意义。 /t/788634

Ref:
创建 TPM 托管证书的方法: https://polansky.co/blog/tpm-backed-certificates-windows/

TPM 与 Bitlocker: https://zhuanlan.zhihu.com/p/29840740

yhvictor

yhvictor      7 小时 17 分钟前 via iPhone

@dingwen07 …开机密码又不能防止直接拆硬盘

dingwen07

dingwen07      5 小时 55 分钟前 via iPhone

@yhvictor #26 BitLocker 的开机 PIN 码,和 TPM 配合使用

ungrown

ungrown      5 小时 4 分钟前

@yhvictor #2
别一被怼就反问对方是否生活不如意,先不提别的,光这个反击模式就已经被用烂了,既没新意也没气势,用了先输一半。
再说,他批评得又没错。

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK