Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Section : Security systemName : Tomohiko . YoshidaDate : 12/08/2009
2
『世界を繋ぐソリューション』
--- JRF Work Shop 2009 ---
What is TPMHWSWUse caseIntroduction of the demoQuestion and Answer
--- JRF Work Shop 2009 ---
What is TPMHWSWUse caseIntroduction of the demoQuestion and Answer
Agenda
3
『世界を繋ぐソリューション』What is TPM•
Trusted Platform Module–
28pin SOP•
Crypto Engine–
RSA2048,SHA,HMAC•
Secure Memory–
NV-RAM•
PCR(Platform Configuration Register)保持
–
PCR 24•
RNG–
真正乱数(256bit以上)
•
耐タンパー性パッケージ
•
Bus-Encryption•
Counter•
etc..
4
『世界を繋ぐソリューション』
ComponentsTPM interfaceTPM chip maker
ComponentsTPM interfaceTPM chip maker
HW
5
『世界を繋ぐソリューション』Components
乱数発生器乱数発生器RSARSA
エンジエンジンン
不揮発性不揮発性
ストレージストレージ
Key Key
生成生成
プラットフォームプラットフォーム
構成レジスタ構成レジスタ
(PCR)(PCR)認証認証IDID鍵鍵
(AIK)(AIK)
オプトオプト
インイン
インタフェース部
SHASHA--11エンジンエンジン
Trusted Platform Module (TPM)Trusted Platform Module (TPM)
パッケージパッケージ
I/OI/O
実行実行
エンジンエンジン
プログラムプログラム
コードコード
6
『世界を繋ぐソリューション』TPM Interface
• PC系– LPC(Low
Pin
Count)
• Embedded系– I2C(or SM-BUS)– SPI
7
『世界を繋ぐソリューション』TPM chip maker
• Atmel• Broadcom• infineon• Nuvoton• STMicroelectronics
8
『世界を繋ぐソリューション』
Software layer
Trusted Boot
Hierarchy of KEY
Software layer
Trusted Boot
Hierarchy of KEY
SW
9
『世界を繋ぐソリューション』Software layer
Hardware
TPM 1.2
TPM Device Driver
TCG Software Stack
Application
CSP(TSS対応)
CAPI PKCS#11(TSS対応)
Application
10
『世界を繋ぐソリューション』
LogLog
Trusted BootCRTM:ROMCRTM:ROM
ROMPeripheral
ROMPeripheral
LoaderLoader
KernelKernel
PCR
xx
:
xxxxxxxxxxxxxxxx
Service APLService APL
measurement
measurement
measurement
measurement
Measurement
Log
11
『世界を繋ぐソリューション』After Trusted Boot?Linux-IMA LSM
BOOT-Loader(Grub-IMA)
Kernel(Linux-IMA)
TPM-BIOS
or
police-service
Hash計算
正解値との比較
APLの起動中止 APLを起動
Customer spec.
+ PCR xx + PCR xx
PCR 00 :
xxxxxxxxxxxxxxxxxxxx
PCR 01 :
xxxxxxxxxxxxxxxxxxxx
:
PCR 23 :
xxxxxxxxxxxxxxxxxxxx
正解値はTPM内
SecureROM(NV-RAM)
又は、SEAL暗号で保護
12
『世界を繋ぐソリューション』
Attestation ID Key(AIK)
・所有者により生成・構成証明・機器証明
TPM-chipTPM-chip
Hierarchy of KEYEndorsement Key
(EK)・TPM製造時に生成
・所有権確立に必要
Storage Root Key(SRK)
・所有者により生成・全て鍵の基点
Storage Key
Signing Key Storage KeySigning Key
(移行可能)
(移行可能) (移行可能)
(移行可能) (移行可能) (移行可能)
(移行不可能)
(移行不可能)
(移行不可能)
ラッピング
ラッピング
ラッピング
Storage Key Storage Key
Storage Key
Storage Key Signing Key
13
『世界を繋ぐソリューション』
MFPDigital contents deliveryImage device搭載が予想されそうな分野
MFPDigital contents deliveryImage device搭載が予想されそうな分野
Use Case
14
『世界を繋ぐソリューション』Security policy
機器構成の正当性機器構成の正当性
機器の正当性機器の正当性 情報の保護情報の保護
アプリケーショアプリケーショ
ンの改竄検出ンの改竄検出 マルウェアの検出マルウェアの検出
15
『世界を繋ぐソリューション』MFP
内部の情報などを暗号化
画像処理装置におけるセキュリティ標準であるIEEE P2600
– 「装置内部に保存されるデータの保護」
16
『世界を繋ぐソリューション』Digital contents delivery• TPMにてデジタルデータを保護
– 復号されたデジタルデータの流出
• 機器認証
– 不正機器とのペアリング
• コンプライアンスへの対応として
– TPM
17
『世界を繋ぐソリューション』Image display• 特定の機器のみBinding
– 不正機器とのペアリングをしない
• Binding情報をTPMで保護
• 対クラッカー– 正常に情報が読み出せるのは、電源投入後の1回のみ
18
『世界を繋ぐソリューション』Use Case
• ATM、POS、決済端末– PCI-DSS
• スマートグリッド(スマートメータ)– そして家電製品へ
• 情報キオスク端末(住民票、印鑑登録証明まど)
• NFCとの連携
• ゲーム機
• 遊技機、カジノ、メダル/球計量器
• DLNA– DTCP-IP
今後、搭載が予想されそうな分野
19
『世界を繋ぐソリューション』
iTDDiTSSTALTRS
iTDDiTSSTALTRS
Introduction of the demo
20
『世界を繋ぐソリューション』
Hardware
iTDD / iTDDL• iTDD(Insight TPM Device Driver)
– TPMデバイスドライバ• iTDDL(Insight TSS Device Driver Library)
– TPMデバイスドライバにアクセスするためのAP– *WinXP系のみ使用。他OSはTSSに包含。
TPM 1.2
Driver
iTDD
TSS
iTDDL
TCS(TSS Core Service)
TSP(TSS Service Provider)動作環境
OS WindowsXP, XP-emb , CE , Linux , BSD
TPM 各社
STmicro , Nuvoton , ATMEL , Broadcom , infineon
TSS CTSS( Ntru ) , iTSS , TrouSerS
Bus LPC , I2C , SPI
Size iTDD 11KBiTDDL 56KB
21
『世界を繋ぐソリューション』
Hardware
iTSS• iTSS(Insight TPM Software Stack)
– TSSに規定されている複雑な 構成 / 管理 / API
を簡略化することで、OS非依存
かつコンパクト化。
TPM 1.2
Driver
TPM Device Driver
TSSiTSS
動作環境OS OSには依存しない
WindowsXP, XP-emb , CE , Linux , etc
TPM 各社
STmicro , Nuvoton , ATMEL , Broadcom , infineon
Size 90KB
APLApplication
22
『世界を繋ぐソリューション』
Hardware
TAL• TAL(TPM Access Library)
– 複雑なTSS規定のTSPIをより簡素化し使い易くしたAPI
TPM 1.2
Driver
TPM Device Driver
TSSTSS
動作環境
OS OSには依存しない
WindowsXP, XP-emb , CE , Linux , etc
TSS TrouSerS , CTSS ( Ntru )
Size 80KB
TALTAL
APLApplication
23
『世界を繋ぐソリューション』TRS• TRS(TPM Remote access System)
TPM system の開発に必要なTPMの– 初期化 / 初期設定機能
– 情報取得機能– ベンチマーク機能– 暗号化 / 復号機能– DAM機能試験– key Migration / Key backup / Key import 試験– Remote Control
HOST側
動作環境
OS WindowsXP ,
Vista
Client側
動作環境
OS WindowsXP , XP-emb , CE , Linux
TPM 各社
STmicro , Nuvoton , ATMEL , Broadcom , infineon
TSS ・TrouSerS + TAL・CTSS + TAL・iTSS
24
『世界を繋ぐソリューション』機器構成
Armadillo-500 Armadillo-500
log
25
『世界を繋ぐソリューション』Information
26
『世界を繋ぐソリューション』Measurement
27
『世界を繋ぐソリューション』Encrypt/Decrypt
28
『世界を繋ぐソリューション』Key Import
29
『世界を繋ぐソリューション』Migration
30
『世界を繋ぐソリューション』Dictionary Attack
31
『世界を繋ぐソリューション』最後に
• 本格的なクラウドコンピューティング
– どこでも、誰でも、いつでも
• スマートグリッドとIT– スマートホーム
• 家電機器のネットワーク化– ホームセキュリティ
32
『世界を繋ぐソリューション』Thank you for your time
エンジニアリングパートナーとして