我可以将openssl生成的公钥存储在TPM (2.0)设备上吗？

Question

我有一个Infineon SLB9670 TPM模块连接到一个BeagleBone板。我想通过使用TPM作为密钥存储(存储公钥)在板上进行RSA签名验证。同样，我有以下问题：

1. 是否可以在TPM上存储外部生成的公钥？
2. 如果上述情况是可能的，那么是否有一种身份验证机制只允许我写入TPM中的公钥存储区？

我刚从TPMs开始，所以如果我做了一些明显的假设，请告诉我。

Answer 1

这听起来不像是对常规TPM关键对象所做的事情。

然而，TPMs确实有少量的通用NVRAM，您可以通过分配"NV索引“(例如使用tpm2 nvdefine)和存储您想要的任何数据(例如公钥或整个证书)来访问这些内存。例如，通常您会找到一个预定义的索引0x1c00002，其中包含来自制造商的TPM的“背书证书”。

NV索引可以有各种读/写条件 -指定ownerwrite将需要“所有者层次结构”密码才能更改其内容，并且启用writedefine可以锁定NV索引并使其不可写。通常，为了删除(也就是未定义) NV索引，已经需要所有者auth，但是具有空白策略的policydelete应该使其完全不可删除。

注:我没有任何备用的TPM，所以我从来没有真正尝试做永久的NV指数或其他砖的TPM。但是，如果我正确理解规范，清除TPM仍然会删除所有的“所有者”-created NV索引，甚至是那些您(无意中)不可能删除的索引。