我读到TPM会测量所有关键组件,并在启动时将它们的哈希值写入PCR寄存器。
TPM是否也在运行时或这些组件运行期间进行测量?
答案 0 :(得分:1)
TPM本身根本不接受任何测量。也不是在开机时。这是一个信任启用代码可以防篡改存储测量的地方。
在启动期间,测量由固件(BIOS,UEFI)获取并存储在TPM中。可以在固件完成后再进行其他测量的方式配置系统。就像一个可信赖的引导装载程序。
如果您有兴趣将信任链进一步扩展到每个执行的代码位,那么像IBM Integrity Measurement Architecture这样的项目值得关注。但是,我认为这些测量毫无意义。你怎么用这些?很少有任何案例可以证明某个测量链是可信的。
您也可以编写自己的软件,在任何给定时间存储测量值,或使用jTSS,TrouSerS或IBM's libtpm tools等工具。