Section : Security system Name : Tomohiko. Yoshida Date : 12/08/2009
Agenda --- JRF Work Shop 2009 --- What is TPM HW SW Use case Introduction of the demo Question and Answer 2
What is TPM Trusted Platform Module 28pin SOP Crypto Engine RSA2048,SHA,HMAC Secure Memory NV-RAM PCR(Platform Configuration Register) 保持 RNG PCR 24 真正乱数 (256bit 以上 ) 耐タンパー性パッケージ Bus-Encryption Counter etc.. 3
HW Components TPM interface TPM chip maker 4
Components インタフェース部 I/O 不揮発性 ストレージ 乱数発生器 SHA-1 エンジン プラットフォーム 構成レジスタ (PCR) Key 生成 認証 ID 鍵 RSA エンジン (AIK) オプト イン プログラム コード 実行 エンジン Trusted Platform Module (TPM) パッケージ 5
TPM Interface PC 系 LPC(Low Pin Count) Embedded 系 I2C(or SM-BUS) SPI 6
TPM chip maker Atmel Broadcom infineon Nuvoton STMicroelectronics 7
SW Software layer Trusted Boot Hierarchy of KEY 8
Software layer Application Application CAPI CSP(TSS 対応 ) PKCS#11 (TSS 対応 ) TCG Software Stack TPM Device Driver Hardware TPM 1.2 9
Trusted Boot Log Measurement Log measurement CRTM:ROM CRTM:ROM measurement ROM ROM Peripheral Peripheral measurement Loader Loader measurement Kernel Kernel Service APL Service APL PCR xx : xxxxxxxxxxxxxxxx 10
After Trusted Boot? Linux-IMA LSM police-service Hash 計算 正解値との比較 正解値は TPM 内 SecureROM(NV-RAM) 又は SEAL 暗号で保護 or + PCR xx + PCR xx APL の起動中止 APL を起動 Customer spec. Kernel(Linux-IMA) BOOT-Loader(Grub-IMA) TPM-BIOS PCR 00 : xxxxxxxxxxxxxxxxxxxx PCR 01 : xxxxxxxxxxxxxxxxxxxx : PCR 23 : xxxxxxxxxxxxxxxxxxxx 11
Hierarchy of KEY Endorsement Key (EK) TPM 製造時に生成 所有権確立に必要 Storage Root Key (SRK) 所有者により生成 全て鍵の基点 TPM-chip ラッピング ラッピング Storage Key ( 移行可能 ) Storage Key ( 移行不可能 ) Attestation ID Key (AIK) 所有者により生成 構成証明 機器証明 Storage Key Storage Key Storage Key Signing Key ラッピング ( 移行可能 ) ( 移行可能 ) ( 移行不可能 ) ( 移行不可能 ) Signing Key Signing Key Storage Key ( 移行可能 ) ( 移行可能 ) ( 移行可能 ) 12
Use Case MFP Digital contents delivery Image device 搭載が予想されそうな分野 13
Security policy アプリケーションの改竄検出 マルウェアの検出 機器の正当性 情報の保護 機器構成の正当性 14
MFP 画像処理装置におけるセキュリティ標準である IEEE P2600 装置内部に保存されるデータの保護 内部の情報などを暗号化 15
Digital contents delivery TPM にてデジタルデータを保護 復号されたデジタルデータの流出 機器認証 不正機器とのペアリング コンプライアンスへの対応として TPM 16
Image display 特定の機器のみ Binding 不正機器とのペアリングをしない Binding 情報を TPM で保護 対クラッカー 正常に情報が読み出せるのは 電源投入後の 1 回のみ 17
Use Case 今後 搭載が予想されそうな分野 ATM POS 決済端末 PCI-DSS スマートグリッド ( スマートメータ ) そして家電製品へ 情報キオスク端末 ( 住民票 印鑑登録証明まど ) NFCとの連携 ゲーム機 遊技機 カジノ メダル / 球計量器 DLNA DTCP-IP 18
Introduction of the demo itdd itss TAL TRS 19
itdd / itddl itdd(insight TPM Device Driver) TPM デバイスドライバ itddl(insight TSS Device Driver Library) TPM デバイスドライバにアクセスするための AP *WinXP 系のみ使用 他 OS は TSS に包含 動作環境 OS WindowsXP, XP-emb, CE, Linux, BSD TPM 各社 STmicro, Nuvoton, ATMEL, Broadcom, infineon TSS TSP(TSS Service Provider) TCS(TSS Core Service) itddl TSS Bus CTSS( Ntru ), itss, TrouSerS LPC, I2C, SPI Driver itdd Size itdd 11KB itddl 56KB Hardware TPM 1.2 20
itss itss(insight TPM Software Stack) TSS に規定されている複雑な構成 / 管理 / API を簡略化することで OS 非依存かつコンパクト化 動作環境 OS TPM Size OS には依存しない WindowsXP, XP-emb, CE, Linux, etc 各社 STmicro, Nuvoton, ATMEL, Broadcom, infineon 90KB APL TSS Driver Hardware Application itss TPM Device Driver TPM 1.2 21
TAL TAL(TPM Access Library) 複雑な TSS 規定の TSPI をより簡素化し使い易くした API 動作環境 OS OSには依存しない WindowsXP, XP-emb, CE, Linux, etc TSS TrouSerS, CTSS ( Ntru ) APL TAL TSS Application TAL TSS Size 80KB Driver TPM Device Driver Hardware TPM 1.2 22
TRS TRS(TPM Remote access System) TPM system の開発に必要な TPM の 初期化 / 初期設定機能 情報取得機能 ベンチマーク機能 暗号化 / 復号機能 DAM 機能試験 key Migration / Key backup / Key import 試験 Remote Control HOST 側動作環境 OS WindowsXP, Vista Client 側動作環境 OS TPM WindowsXP, XP-emb, CE, Linux 各社 STmicro, Nuvoton, ATMEL, Broadcom, infineon TSS TrouSerS + TAL CTSS + TAL itss 23
機器構成 Armadillo-500 Armadillo-500 log 24
Information 25
Measurement 26
Encrypt/Decrypt 27
Key Import 28
Migration 29
Dictionary Attack 30
最後に 本格的なクラウドコンピューティング どこでも 誰でも いつでも スマートグリッドと IT スマートホーム 家電機器のネットワーク化 ホームセキュリティ 31
Thank you for your time エンジニアリングパートナーとして 32