Cryptography Reference
In-Depth Information
Schlüssel
Auf einem TPM können (wie auf einer Smartcard) symmetrische und asymme-
trische Schlüssel für beliebige Anwendungen gespeichert werden. Darüber hinaus
sieht die TCG-Spezifikation drei spezielle Schlüsseltypen vor, die das TPM für
bestimmte Aufgaben benötigt. Bei allen drei Typen handelt es sich um RSA-
Schlüssel (genauer gesagt geht es immer um RSA-Schlüsselpaare):
Endorsement Key : Jedes TPM-Exemplar hat ein RSA-Schlüsselpaar gespei-
chert, das als Endorsement Key (Bestätigungsschlüssel) bezeichnet wird. Der
Endorsement Key wird im Chip erzeugt oder bereits vom Hersteller auf den
Chip gebracht und ist nicht auslesbar. Seine Länge beträgt 2.048 Bit. Der
Endorsement Key ist für jeden Chip anders (dies ist zumindest mit großer
Wahrscheinlichkeit zu erwarten) und identifiziert einen solchen eindeutig.
Auch der öffentliche Teil des Endorsement Key ist (aus Datenschutzgründen)
nicht öffentlich zugänglich.
Attestation Identity Key : Auch hierbei handelt es sich um ein RSA-Schlüssel-
paar. Es wird ausschließlich für digitale Signaturen verwendet. Seine Nutzung
erfordert die Eingabe eines 160-Bit-Passworts. Es kann mehrere Attestation
Identity Keys auf einem TPM-Chip geben. Sie werden jeweils vom Endorse-
ment Key abgeleitet. Die Schlüssellänge beträgt 2.048 Bit. Attestation Identity
Keys dienen ausschließlich dem Signieren TPM-interner Daten wie PCRs und
Schlüsseln.
Storage Root Key : Einen solchen generiert der Besitzer eines Computers
selbst. Es gibt nur einen pro TPM-Chip, bei einem Besitzerwechsel ist jedoch
eine Löschung mit anschließender Neugenerierung möglich. Der Storage
Root Key wird nur zum Verschlüsseln verwendet.
Da ein TPM dem Nutzer laut Spezifikation kein symmetrisches Verschlüsselungs-
verfahren anbieten muss, gibt es auch keine vorgegebenen symmetrischen Schlüssel.
24.2.3
Funktionen und Anwendungen des TPM
Wozu das TPM die beschriebenen Schlüssel benötigt, wird klar, wenn wir uns die
typischen Anwendungsszenarien ansehen.
Verschlüsselung und digitale Signatur mit dem TPM
Das TPM lässt sich ähnlich nutzen wie eine Smartcard - allerdings mit dem
Unterschied, dass das TPM fest an den jeweiligen Computer gebunden ist. Das
TPM kann zum Beispiel einen privaten RSA-Schlüssel speichern, mit dem Alice
die von Bob kommenden E-Mails entschlüsselt (Bob muss natürlich den dazu
passenden öffentlichen RSA-Schlüssel kennen). Wenn Alice eine solche Mail
erhält, leitet sie (bzw. ihre Mail-Software) den verschlüsselten symmetrischen
Search WWH ::




Custom Search