TPM和智能卡有什么共同之处？

Question

标题真的说明了一切。我开始深入研究计算机安全，从我所观察到的或者我在书籍或文章中所读到的，总是会提到基本的智能卡(例如，第3章，“使用TPM 1.2的场景”，从“实用指南到TPM 2.0”)。

据我所知，TPM是一种具有给定标准化规范的芯片。供应商使用这些标准创建HW/SW组合，以提供规范附带的安全方面。但在那之前智能卡是很久以前的事了，不是吗？它们是否是基于TPMs的？这两件事的运作方式是否仅仅有相似之处？它们仅仅是与计算机与TPM交互的一种手段吗？我想我无法在基本的场景/用例中看到它们--我只能想象TPM被用于(个人计算机)。

我很抱歉，如果我没有任何意义，我也欢迎一个消息来源如何更好地理解TPMs -从零开始，它是真正的，实际上是可以理解的。我拥有一个CS学位，但我还不能对此深信不疑(一本名为“TPM2.0实用指南”的书并没有说服我)。谢谢!

Answer 1

智能卡和TPM都是可以存储加密密钥和执行加密操作的计算环境，执行涉及它们存储的密钥的加密操作是它们的主要目的。

如果您的操作系统支持TPM，它将提供在TPM中存储密钥和密码，并对这些密钥执行操作。这样做的接口通常被认为是智能卡接口，因为智能卡是第一种常见的设备类型，并且没有一个通用的术语用于“具有自己的密钥存储可以执行涉及这些密钥的操作的计算环境”。但是关于术语，请参阅HSM和SE有什么区别？。

让智能卡或TPM执行这些加密操作的优点是，密钥比存储在PC上的密钥受到更好的保护。TPM /智能卡与主CPU之间的隔离使得软件漏洞更难公开密钥，并且取决于TPM的物理隔离程度，它也可以抵抗物理攻击(对于智能卡，抵抗物理攻击是定义的一部分)。

第一个TPM是物理上分开的芯片，焊接在个人电脑主板上，旁边是主处理器和其他芯片。TPM芯片通常有类似于智能卡芯片的设计。今天，TPM可能仍然是一个单独的芯片，也可能是与主CPU相同的物理芯片中的单独处理器，或者是主芯片内部的逻辑环境，大致按安全性和成本的顺序降低。TPM也可以是在虚拟机管理程序中运行的一段软件，用作虚拟机的TPM。

智能卡是一种可移动的设备:你把它插到计算机上(如果它是非接触式的话，就把它传递到计算机附近)，这台计算机可以向它提出请求。TPM连接到PC (虚拟机中虚拟PC环境的虚拟主板)的主板上。因为TPM是永久连接到计算机上的，所以它除了为用户存储密钥之外，还可以做其他事情。

特别是，TPM可以读取计算机的内存和处理器状态。这在TPM文献中被称为“测量”，测量的输出基本上是相关内存内容的加密散列。它可以生成该状态的认证，这是一个状态的签名，它使用的密钥只能在TPM中使用。运行TPM的计算机可以将此认证发送到服务器，以证明其运行在特定的软件配置中。这在安全网络上使用，以确保只有运行授权软件的授权计算机才能连接到网络。TPM还可以存储对预期状态的描述(预期的哈希值)，并仅在计算机处于预期状态时才授权某些函数，例如，只有当引导代码是预编程的引导代码而不是启动代码已被修改时，才能公开硬盘加密密钥。