🤖卡智通

TPM 2.0 可信平台模块规范

标准编号：ISO/IEC 11889 (2015) 系列 | TCG TPM 2.0 规范库 (Parts 1-4)

发布组织：TCG (Trusted Computing Group) – 国际标准化组织 ISO/IEC JTC 1

主流版本：TPM 2.0（2014年发布，2019年更新部分规范）。

摘要：TPM 是一种硬件安全芯片，用于保护平台完整性、加密密钥和关键安全操作。TPM 2.0 规范对前代进行重大改进，引入了灵活的命令集、多种加密算法（RSA, ECC, SHA-1, SHA-256, AES 等）、层次化密钥结构和新的授权机制。TPM 可测量启动环境，提供平台配置寄存器 (PCR)，实现安全启动（Secure Boot）和远程认证 (Remote Attestation)。它被广泛应用于 PC、服务器和物联网设备，作为可信计算和硬件根信任的基础。

核心概念：

• 根信任 (Root of Trust): 包括度量根、存储根（EK 背书密钥）和报告根。
• 层次 (Hierarchies): 平台层次 (Platform)、存储层次 (Storage) 和背书层次 (Endorsement)，不同层次有各自的授权结构和生命周期。
• 密钥结构 (TSS – TCG Software Stack): 支持持久密钥、易失密钥、非对称密钥、对称密钥等。
• PCR (Platform Configuration Registers): 记录系统启动阶段（UEFI、Bootloader、内核）的测量值，用于证明平台状态。
• 密封 (Sealing) 与绑定 (Binding): 将数据加密到特定的 PCR 状态；仅当 PCR 值与密封时一致时才能解密。
• 命令与响应 API: 使用命令缓冲区 (TPM Commands) 与 TPM 通信，支持授权协议 (Password, HMAC, Policy)。

TPM 2.0 相较 1.2 的改进：算法中立 (多算法支持更灵活)、授权更灵活 (策略授权)、命令集扩展、支持 ECC、SHA-256 等现代算法。

官方资源： TCG TPM 2.0 规范库 | ISO/IEC 11889-1:2015

关联工具： 非对称加密工具 (RSA/ECC) | 哈希摘要工具 | CRC 校验