2015年TPM2.0 library specification（Trusted Platform Module）正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 11889，首次成體系支持中國(guó)密碼算法體系，包括SM2/SM3/SM4密碼算法。這是中國(guó)密碼算法技術(shù)和標(biāo)準(zhǔn)的又一次重要突破，也是中國(guó)信息安全標(biāo)準(zhǔn)在國(guó)際標(biāo)準(zhǔn)化工作中的重要進(jìn)展。

ISO/IEC 11889標(biāo)準(zhǔn)帶來(lái)哪些好處？

ISO/IEC 11889的核心在于一顆可信密碼安全芯片，它可有效阻止硬件設(shè)備運(yùn)行非法程序，包括BIOS級(jí)別，外設(shè)固件級(jí)別的惡意程序；能有效的保護(hù)具有計(jì)算能力的設(shè)備，防止非法用戶／設(shè)備訪問(wèn)；提供物理安全級(jí)別的敏感數(shù)據(jù)的加密保護(hù)，保護(hù)加密密鑰，安全配置策略等信息。軟件方式的數(shù)據(jù)盜取，通信鏈路上的中間人和重放攻擊，以及本地物理現(xiàn)場(chǎng)的探針、拋片等物理攻擊方式對(duì)可信安全芯片來(lái)說(shuō)都不管用。ISO/IEC 11889 支持中國(guó)商用密碼算法體系（SM2/SM3/SM4），使得在數(shù)據(jù)安全保護(hù)上更加牢不可破。

可信計(jì)算的應(yīng)用場(chǎng)景是什么？

有計(jì)算能力的設(shè)備都可使用可信計(jì)算，例如小型機(jī)、服務(wù)器、臺(tái)式機(jī)、筆記本、平板電腦、智能手機(jī)、打印機(jī)、手寫(xiě)板、工業(yè)控制系統(tǒng)、電動(dòng)汽車(chē)控制系統(tǒng)、IoT設(shè)備等，用途非常廣泛。

擁有自己的TPM應(yīng)用，就不用操心防御中間人攻擊，重放攻擊，字典攻擊這些問(wèn)題，采用TPM協(xié)議不管走到網(wǎng)絡(luò)的那個(gè)角落都不會(huì)遭受到這些攻擊，即使TPM指令的通信傳輸協(xié)議不加密。

快速入門(mén)

如何快速建立基于ISO/IEC 11889標(biāo)準(zhǔn)的學(xué)習(xí)、開(kāi)發(fā)與應(yīng)用環(huán)境呢？下面我們以國(guó)民技術(shù)Z32H330TC芯片為例，做一詳細(xì)介紹：

1, 硬件平臺(tái)：中國(guó)型號(hào)的SurfacePro 5/6/7/8/9，Surfacebook內(nèi)嵌了國(guó)民技術(shù)的TPM2.0密碼安全芯片，更多平臺(tái)也已經(jīng)支持。

2, 安全BIOS：BIOS中的度量應(yīng)用安全機(jī)制在您購(gòu)買(mǎi)的硬件設(shè)備上已經(jīng)集成啦，可以抵御badBIOS這樣的惡意攻擊。當(dāng)然有研究精神的小伙伴可以研究下BIOS中的TPM2.0開(kāi)發(fā)，您參考下面鏈接，它提供了TPM2.0的BIOS驅(qū)動(dòng)和TREE操作代碼。

https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/

3, OS驅(qū)動(dòng):LinuxKernel 4.0開(kāi)始支持TPM2.0芯片，如Ubuntu20.04，F(xiàn)edora等，完美支持國(guó)民技術(shù)Z32H330TC芯片。

TPM中間件：開(kāi)源項(xiàng)目TPM2.0-TSS實(shí)現(xiàn)了TPM2.0的各種API：

從下面的鏈接獲取完全的資源，依照INSTALL安裝編譯：

https://github.com/tpm2-software/tpm2-tss

以管理員權(quán)限r(nóng)esourcemgr成功運(yùn)行中間件，"Initializing local TPM Interface"提示成功找到物理TPM驅(qū)動(dòng)，現(xiàn)在有API啦，試試吧。

軟件工具

開(kāi)源項(xiàng)目TPM2.0 Tool在TSS2.0基礎(chǔ)上包裝了常用的TPM2.0功能，可以直接使用。功能包括：

— NVTool:芯片內(nèi)部用于用戶使用的存儲(chǔ)空間的操作，包括定義分配存儲(chǔ)區(qū)／釋放存儲(chǔ)區(qū)／讀存儲(chǔ)區(qū)／寫(xiě)存儲(chǔ)區(qū)／所有存儲(chǔ)區(qū)列表／鎖定存儲(chǔ)區(qū)讀等操作。

— 證明工具：包括聲明所有者／獲取平臺(tái)背書(shū)密鑰公鑰／獲取芯片生產(chǎn)商／獲取身份密鑰公鑰／身份密鑰解析／生成身份報(bào)告憑據(jù)請(qǐng)求／激活身份報(bào)告憑據(jù)／平臺(tái)配置寄存器列表／平臺(tái)狀態(tài)引證。

— 密鑰管理工具：生成主密鑰／存儲(chǔ)密鑰／密鑰生成／密鑰對(duì)象加載／外部密鑰對(duì)象加載。

— 加密工具：對(duì)稱(chēng)加／解密、RSA加／解密、數(shù)據(jù)封裝。

— 簽名工具：簽名／驗(yàn)簽（RSA，ECC，SM2）、密鑰來(lái)源證明。

— 其他工具：獲取隨機(jī)數(shù)／計(jì)算Hash值／計(jì)算HMAC／讀取密鑰公鑰對(duì)象。

以上常用的安全操作、密碼服務(wù)操作非常齊全，快快動(dòng)手開(kāi)發(fā)自己的TPM應(yīng)用吧

開(kāi)源項(xiàng)目對(duì)TPM2.0的支持顯示出ISO/IEC 11889標(biāo)準(zhǔn)強(qiáng)大的生命力，為新一代標(biāo)準(zhǔn)的廣泛應(yīng)用奠定了基礎(chǔ)，也為安全可信應(yīng)用系統(tǒng)開(kāi)發(fā)提供了高端體驗(yàn)。