Cryptography Reference
In-Depth Information
Zusammenhang mit Attestation Identity Keys (
AIK
s) genutzt. Alle anderen Nachweise der
Identität der Plattform erfolgen dann im weiteren Betrieb über sogenannte AIKs. AIKs sind
mit X.509-kompatiblen [X509] Zertifikaten verbunden, d.h. der öffentliche TPM-Schlüssel ist
Bestandteil des X.509-Zertifikats. Für den Zertifikatsantrag zu einem AIK muss zusätzlich der
EK an die Zertifizierungsstelle mitgeschickt werden. Hier wird einmal die Verbindung zwi-
schen AIK und EK beglaubigt. Beim späteren Nachweis der Rechner-Identität ist dann der EK
somit nicht mehr notwendig. Der AIK ist im Zusammenspiel mit einem Plattformzertifikat
ausreichend, um die Identität des Computers nachzuweisen.
Abb. 7-26: Schlüsselhierarchie.
Einsatzszenarien für den Nachweis der Identität eines Systems gibt es vielfältige. Zum Beispiel
kann die Distribution von Software auf Basis der durch den AIK nachgewiesenen Identität
erfolgen. Auch ist es möglich, Geräte-Authentisierungen im Netzwerk, z.B. für den Aufbau
von gesicherten Verbindungen über VPNs (Virtual Private Networks), mit Hilfe des AIKs
durchzuführen.
Bei SRK, EK und AIK handelt es sich um RSA-Schlüssel, für die von der aktuellen TCG-
Spezifikation eine Mindestlänge von 2048 Bit vorgeschrieben ist.
Weitere Arten asymmetrischer Schlüssel sind:
Storage Keys zum Verschlüsseln von sicherheitskritischen Daten und anderen Schlüsseln.
Signature Keys zur Erzeugung von digitalen Signaturen. AIKs sind eine besondere Form
von Storage Keys, die über ein Zertifikat legitimiert wurden. Signature Keys müssen nicht
unbedingt über ein zugehöriges Zertifikat verfügen, wenn sie von einem übergeordneten
AIK „abgeleitet“, d.h. damit verschlüsselt sind. Die Möglichkeit, Signatur Keys auf einen
