TPM nvLocked标志

Question

nvLocked在TPM中控制什么？我读过它使NVRAM访问权限被强制执行，但我想举个例子。它也被称为永久文件，但文件含糊不清。锁定“永久”，直到TPM所有者被重置或永久锁定像一个可编程的保险丝？

Answer 1

根据TPM1.2规范(FindTPM1.2 这里)第1部分第28.2节，nvLocked是TPM制造商在定义了将永久保存在TPM中的每个NV索引之后，可以将TPM放置在其中的状态。在nvLocked设置为true之后，可以定义非永久性索引，但D位集不能将其设置为永久索引。

这通常是在TPM制造商在NV中存储背书密钥(EK)证书时发挥作用的。他们设置索引的D位，使EK证书索引0x1000f000代替0x0000f000。这也永久地将EK证书放置在TPM的NV商店中。一旦TPM是nvLocked，就不能使用D位定义更多的NV索引。如果平台制造商想要存储平台证书，他们必须在索引0x0000f002中存储，而不能在0x1000f002永久定义索引。实际效果是可以释放索引，可以重新定义相同的索引，并可以编写新的证书。

“永久”在这里意味着拥有同样的EK生活。TPM 1.2规范允许可撤销的EK，但据我所知，没有TPM制造商选择实现该选项。