是否有任何平板电脑支持远程认证?
当 TPM 提供远程证明时,涉及到几个组件:
- TPM 作为包含信任根的防篡改设备;
- TPM 作为测量在主处理器上运行的软件并生成证明的设备;
- 连接到 TPM 并检索证明并传输它的软件(该软件只是中继 TPM 提供的签名证明,因此不需要信任它)。
第三点是“容易的”,因为这样的软件已经存在,如果有用的话,可以移植到平板电脑上。
第一点是移动设备生态系统的障碍,因为手机和平板电脑往往只有很少的芯片;额外的 TPM 芯片被视为显着增加了成本。虽然 TCG 已经为MTM (移动设备的轻量级 TPM)定义了规范,但我认为在任何面向公众的智能手机中都找不到 MTM。Microsoft 正在推动平板电脑中的 TPM,因此移动设备中的 MTM 或 TPM 可能会变得更加普遍(例如,新的Windows Phone 8 具有 TPM)。
第 2 点实际上并不需要将 TPM 作为物理设备,而是需要提供类似 TPM 的接口并在正常操作系统范围之外运行的系统组件。例如,操作系统(例如 Windows RT 或 Android)可以在虚拟机中运行,管理程序提供(虚拟)TPM。这种方法有两个直接障碍:
- Cortex-A15是第一个提供虚拟化扩展的 ARM 内核。带有基于 A-15 处理器的设备现在几乎没有问世。
- 虽然管理程序可以在运行时将信任根存储在主操作系统范围之外,但它需要一个存储信任根的地方——它不能是操作系统可以覆盖它的主闪存。
第一个障碍可以通过TrustZone解决,它提供了一种只有两个操作系统分区的专用虚拟机管理程序,并且存在于智能手机和平板电脑中使用的所有基于 ARM 的处理器上(作为用户很难知道它的用途是什么))。第二个障碍需要处理器提供更多支持,但现有设备(例如Motorola Droid)中部署的处理器至少提供少量非易失性内存,以熔断器(物理一次性写入)的形式提供,仅可由 TrustZone 的“受信任的世界”端读取,而不是由主操作系统读取。可以在此基础上构建 TPM 接口,TCG 正在开发它。这很可能是“基于固件的 TPM” 在基于 ARM 的 Surface(没有独立的 TPM 芯片)中。
因此,总结一下:几乎没有具有实际 TPM 的平板电脑。但是有些平板电脑可以实现相同的安全要求(置信度略低)。您还不能购买任何平板电脑并期望对其进行远程认证,也不能自己实现它,因为您无法访问信任根,但是随着目前围绕 BYOD 的炒作,越来越多的产品应该出来。
这更多的是反馈而不是答案。如果我在这里错误的区域,我很抱歉。
有几种用于平板电脑的安全基线管理工具,只需启动 ye'ole Googlez。可悲的是,在整个沙盒中,设备似乎是主要的方法。如果您对 MS 设备感兴趣(可能是受虐狂?)这(http://www.windowsecurity.com/articles/Windows-8-Tablets-Secure-enough-Enterprise.html )是一篇很好的文章,概述了 Win8 和 Surface安全构造并专门针对 ARM。
但是,关于移动安全主题,您可以找到“移动设备中基于硬件的安全性指南(草案)”(http://csrc.nist.gov/publications/drafts/800-164/sp800_164_draft.pdf)感兴趣。这是一个相当新的草案,只解决了这类问题。
分享和享受,
以下是 2013 年初可用的类似平板电脑的 vPro(支持 TPM、VT-d 和 TXT)设备的列表。有时有几个型号的硬件规格略有不同,请确保您购买的设备具有TXT的正确 vPro 硬件和BIOS 支持。如果您想确定,请拨打 OEM 支持号码。