【TechTarget中国原创】很多网络管理员都不曾注意到，在过去几年中，他们所安装的台式机、笔记本和服务器上都包含一个可信平台管理（Trusted Platform Management， TPM）芯片，该芯片是可以用来加强用户登录认证，防止未经授权的软件修改，以及全面加密硬盘和可擦写媒体的数据。

TPM芯片规格是由Trusted Computing Group开发的，该小组是由大部分主要系统和芯片厂商组成，包括AMD、HP、IBM、Intel、Microsoft和Sun。它成立于2003年，目的在于创建开放标准以对抗密码、数据和加密密钥的窃取以及防范恶意软件安装行为。

【TechTarget中国原创】很多网络管理员都不曾注意到，在过去几年中，他们所安装的台式机、笔记本和服务器上都包含一个可信平台管理（Trusted Platform Management， TPM）芯片，该芯片是可以用来加强用户登录认证，防止未经授权的软件修改，以及全面加密硬盘和可擦写媒体的数据。

TPM芯片规格是由Trusted Computing Group开发的，该小组是由大部分主要系统和芯片厂商组成，包括AMD、HP、IBM、Intel、Microsoft和Sun。它成立于2003年，目的在于创建开放标准以对抗密码、数据和加密密钥的窃取以及防范恶意软件安装行为。

过去两三年市场上销售的所有笔记本电脑、台式机和服务器上都几乎已经安装了TPM芯片。该芯片预计也将被安装在手机和PDA等设备上。

TPM规格往往是作为单个独立芯片产品来供应的，但是也可以作为另一个芯片的一部分出现，比如以太网接口。它包含了一个带有实现了RSA、SHA-1和HMAC算法的硬件的处理引擎，以及一个随机数字生成器。该芯片还包含了一定数量的内部存储空间。

加密密钥

每个TPM芯片都包含一个RSA密钥对，它被称为签注密钥（Endorsement Key， EK），这是在芯片生产时写入的。每一个TPM芯片所包含的EK都是唯一的。这个密钥对只存在于芯片内部，并且不被外部软件访问。由EK生成的密钥都可以用作TPM芯片的唯一识别，因此也能唯一安装了密钥的系统。

当一个用户或管理员登录系统时，芯片就会产生一个存储根密钥（Storage Root Key， SRK）。这个密钥是由TPM基于EK和用户输入的密码生成的。系统登录用户改变时会有一个新的SRK被创建，从而使新用户无法使用之前用户的SRK加密过的任何数据。

身份认证密钥（AIK）能防止未经授权的固件和软件改动。每次系统启动时，TPM使用AIK和SHA - 1算法来哈希固件和软件的关键部分，然后它们才继续执行。引导加载程序、BIOS和操作系统内核典型情况下都会经过哈希的。然后这些哈希被储存在平台配置寄存器（PCR）的TPM芯片中。
 
当系统试图连接到网络上时，服务器将验证所发送的哈希是否与预期值相匹配。如果其中任何一个哈希部分在启动后被修改过，匹配将会失败，而系统将不会授予进入该网络的权限。

应用TPM的软件产品

网络管理员之所以一直以来都没有注意到TPM功能的最主要原因是缺乏广泛的软件支持。但这个问题已经不复存在了，目前有许多种软件产品支持了TPM，其中包括：

BitLocker驱动加密，它被包含在Microsoft Vista Enterprise and Ultimate和Windows Server 2008中。BitLocker能够对整个Windows卷加密，包括所有系统和用户文件，交换区文件和休眠文件。

全面磁盘加密，可以防止被盗取的系统上的或已拆除但未彻底清空磁盘的数据被盗。TPM芯片在不影响系统操作的情况下执行所有加密和解密操作。BitLocker还使用AIK和PCR来防止未经授权的固件和软件改动。

Softex Incorporated， Ultimaco Safeware AG 和 Wave Systems Corp.都有支持Windows Vista和Windows XP Professional平台的使用TPM芯片的产品，这些产品都提供了多种用户登录认证和全面磁盘加密功能。除了Windows，也有一些Unix和Linux版本也支持该芯片。

围绕TPM的争议

关于芯片的争议在开发早期就已经出现了，这其中包括：

• 开放软件倡导者所担心的是，芯片将锁定没有得到Trusted Computer Group成员授权的软件，从而Linux相关产品将无法安装。但这些疑虑基本上已经平息了：该规范是公开的，并且芯片并不妨碍授权的系统用户安装任何所需的软件。
  
• 在2007年7月Blackhat会议之前，两名安全研究人员公布了一个可能的安全漏洞，并且他们在本次会议开始前取消了会议主题演讲，并对此没有作任何解释。至今他们也没有对此做进一步的声明。
  
• 2008年2月，由普林斯顿大学研究人员领导的小组描述了一种绕过微软BitLocker保护的方法。他们的方法利用了这样一个事实，即来自EK和SRK的密钥都存储在DRAM。攻击者登录一个运行中的系统或待机模式下的系统后，就可以取得这些密钥。而Trusted Software Group则反驳说，研究人员是不可能访问EK或SRK的，因为系统关机和休眠模式都会切断DRAM电源和消除危险，而且该系统也不应该置为待机状态。

尽管过去出现了这样一些问题，但是已经使用过TPM芯片的网络管理员已经证明它是一个很有价值的工具。随着对它的功能的不断认识，可以预见它将得到更广泛的应用。

关于作者：David B. Jacobs是The Jacobs Group的成员，在网络产业方面有着20多年的工作经验。他管理了先进的软件开发项目，并为财富500强企业和新兴企业提供咨询服务。