可信计算江湖论道【原创】

方正贤良

1.达摩东渡——可信计算是怎么出现的

  先说说网上最缺乏的对可信计算本质需求的讲解，为什么会出现可信计算？

上世纪70年代时，大型系统为了提高稳定性，需要使用冗余备份机制以对抗随机错误。这时的安全威胁是随机发生的错误，冗余机制足以对抗。上世纪90年代时，人们担心的不再是随机目标，而是来自黑客和病毒的恶意攻击行为，这时使用冗余备份机制是没有意义的，原系统有漏洞，备份系统也有漏洞，攻击者用同样的攻击方法，可以攻破所有备份系统。因此，人们提出了以物理保护，有可信密码支撑机制的可信根（一般为芯片）为起点，通过一环套一环的可信扩展，构建完整可信链的方式，实现一个攻击者难以插进来的可信度量机制。这就是TCG的可信机制，也是所谓的可信2.0。
作者：algorist
链接：https://www.zhihu.com/question/54895504/answer/264064049
来源：知乎

  普遍认为可信计算的起源是1999年10月可信赖运算平台联盟（Trusted Computing Platform Alliance，TCPA）的成立。随后便发展出TPM(Trusted Platform Module)1.1b、1.2和2.0版本，这三个版本号既是标准规范的版本，也是标准库的版本。TPM 2.0于2014年4月正式发布。
  TCM（Trusted Cryptography Module）是中国模仿TPM实现的可信密码模块。一般认为2022年7月中国发布了TCM2.0标准。GM/T 0012-2020中规定，TCM 2.0协议是TPM 2.0协议的一个子集。
  TPM2.0发布之后一直处于推广应用阶段，之后没有新的标准发布。TCM也没有更新的标准，但是中国提出了“可信计算3.0”。有一种说法，可信计算3.0理念是沈昌祥院士设计的，但名字是方滨兴院士提出的，主要为了和TPM进行区分。
   可信入CPU是一种新的模式，但理念上应该还是可信计算2.0的范畴。
2.少林正宗——林林总总的可信计算

      TPM和TCM是可信计算的少林和武当，是可信计算江湖的正宗门派，即侠义的可信计算。
  其它大门派包括机密计算（主要是TEE，TEE主要有 3 个：Intel SGX、ARM TrustZone 和 AMD SEV）、隐私计算、区块链，可以视为可信计算理念的扩展、延续或工程应用落地。
  还有一些小门派，把用了可信模块或芯片的身份认证、加了认证的业务流程重新包装为“可信”，闪烁其词，强行赋予“安全+”的暗示。
  还有街边卖艺、纯蹭热度的做法，把使用摘要运算算杂凑值的地方都改成“可信度量”。
3.剑宗的剑——可信计算产品

  围绕在TCG身边的主要是大企业，当下主要是联想（接下了IBM的PC落后产能）和微软（Wintel版权壁垒）。TCG和IBM是TPM标准库的两个维护者，微软则是可信计算最大的支持者。微软先和Intel联合做NGSCB(next generation secure computing base)，后投靠TCG，全面支持TPM。

微软对安全的关注由来已久，2002年，比尔·盖茨宣布推出了微软的可信赖计算理念及战略(Trustworthy Computing)。可信赖计算项目的目标是为所有计算机用户建立和提供一个安全的、隐私得到保障的、可靠的计算体验。
在2002年，微软发布的“可信计算”白皮书中，从实施（Execution）、方法（Means）、目标（Goals）三个角度对可信计算进行了概要性的阐释。
Intel对微软的Palladium计划给予支持，宣布了支持Palladium计划的LaGrande硬件技术，并计划推出采用LaGrande技术的新一代奔腾处理器。后来，微软又将这一计划改名为NGSCB(next generation secure computing base)
在2021年6月24日，在微软正式推出了 Windows 11 操作系统之后，同时发布了必须满足 Windows 的最低硬件要求，即WIT(Wintel Trust),其中指定了必须包含TPM硬件及软件，即不包含TPM硬件的设备不能使用Windows 11

  TPM发展多年，始终以比较固定的形态存在：



TPM形态



TPM主板插接口

4.气宗的道——可信计算3.0
“可信计算3.0”将中国可信计算的学术特性和TCG的贴近工程明显区分开来，充分体现了“坐而论道”的文化特性。
  当前快速发展和工程化、商业化的主要还是可信计算2.0，有明确的技术方案，比如两大概念：TCM和TSM（可信软件模块，Trusted Software Module），明确了可信系统的软硬件组成。到了可信计算3.0，硬件部分的TPCM（可信平台控制模块，Trusted Platform Control Module）和其“主动度量”概念已经形成产品，而软件或者架构中的“双体系”、“可信软件基（TSB，Trusted Software Base）”和“可信子系统”都极难具象，因此也产生了理解上的分歧。有人认为运行在内核中的模块就是软件基，有人认为把现有OS中的审计和安全等功能串起来就是可信子系统；还有人则认为3.0无法落地。前者有重新包装2.0的嫌疑，后者似乎更贴近3.0的本意。北京工业大学的胡俊是沈院士理念的身体力行者，已经开源了可信软件基cube，不过完成度似乎还有所差距。但他将3.0和冯诺依曼体系对照，让人有一种茅塞顿开的感觉。



冯诺依曼架构



可信3.0架构

  个人理解，真正实现3.0中的TSB，需要基于裸硬件实现一套独立、最小化的系统，和现有OS并存，并且能够互通以实现监控。这在工程上是无法平衡各种利益和需求的，难以实现。
  “免疫”这种说法没什么太多内涵，密码界的生物拟态、DNA生物学灵感太多了。
5.万剑归宗——重新理解可信计算的本质

  可信计算的基因：硬件密码模块、信任链和符合预期。
      从可信的理念出发，无非是硬件密码模块在计算平台上的推广应用，可以说是密码泛在化的最佳实践。
  可信芯片，无论TPM、TCM还是TPCM都可以看作是硬件密码芯片/模块的一种，更具体些也就是SOC封装而已。TPCM扩展了功能，但随着它的功能不纯粹，非原子性，增加了主板的改造成本，变成一种异化的密码模块。
  机密计算中的Trustzone可以看作是和3.0“防护部件”（我理解就是可信子系统）比较接近的工程方案，它聪明地规避了基于裸硬件实现一套独立系统的理想化路线，通过硬件异构的方式实现了一个安全的隔离环境。它和“可信子系统监视计算部件”的思路也有实质不同。TEE的工作方式和cube倒是很像。
       可信计算所到达的效果就是符合预期，完整性运算能力和安全存储是基技术础。它不能解决所有安全问题，甚至只能解决一少部分问题，它应该属于纵深防御中的一环，是安全的一个细分。
可信计算的研究主线上，鉴于软件严重依赖于OS的实现，剩下能发展的就剩下密码模块，而随着可信入CPU，外挂模块的方式也行将就木。二十年间，狭义的可信计算在通用计算平台留下的只有坚守者倔强的背影，仅在高安全领域里能勉力支撑，Linux内核中的IMA也许是对可信计算最后的致敬。
6.冷兵器时代终结——量子时代的TPM/TCM

3 月 5 日消息 ， 据英飞凌官方消息 ， 英飞凌科技股份公司近日推出了全新的 OPTIGA TPM（可信平台模块）SLB 9672 ， 旨在进一步提升系统的安全性 。该 TPM 芯片采用基于后量子加密技术（也就是基于哈希的签名算法 XMSS）的固件更新机制 ， 是一款具有前瞻性的安全解决方案 。 该机制能够抵御黑客利用量子计算机发起的攻击 ， 保护固件免受损坏 ， 同时它的抗量子计算的固件升级方式 ， 可确保设备长期可用 。

OPTIGA TPM


  按图索骥，查到国外有个“future TPM”的网站，他们已经对量子时代的TPM研究很久了......
参考文献：

1、可信3.0是什么？ - algorist的回答 - 知乎
https://www.zhihu.com/question/54895504/answer/264064049
2、胡俊：如何理解和学习可信计算3.0
https://www.secrss.com/articles/23944
3、可信安全-1-安全可信网络安全观
https://blog.csdn.net/weixin_43769170/article/details/116792115
4、从可信计算到机密计算
https://zhuanlan.zhihu.com/p/471110552
5、国民技术可信计算芯片及其解决方案
https://zhuanlan.zhihu.com/p/576747823
6、英飞凌推出采用后量子加密技术进行固件更新的 TPM 安全芯片
http://www.guangdonglong.com/c/03053OE32022.html
7、后量子TPM
https://futuretpm.eu/index.php/results/public-rtd-deliverables
8、微软强制要求TPM2.0硬件支持意欲何为？
https://view.inews.qq.com/k/20210729A06GXD00?web_channel=wap&openApp=false&f=newdc
9、可信计算和可信赖计算的渊源
https://cloud.tencent.com/developer/article/1541592

夏与白

……