一般人真的有需要用到TPM功能嗎？ - 3C

其實 TPM 只是一個功能簡單的小元件而已
沒有那麼多強大的功能

: TPM 是整個信賴運算的核心。TPM 幾個我認為幾個跟 DRM 有關的核心功能：
: 1. 信賴鏈：TPM 驗證 bootloader、bootloader 驗證作業系統，作業系統驗證應用程式
: 。所以除非破解 TPM 晶片 本身，任何作業系統或應用程式的竄改（例如破解檔）都
: 會被 TPM 直接或間接抓到，驗數位簽章就可以了。

TPM 本身不會去抓 "竄改" 這件事
它的功能很簡單，單純的算出 bootloader 或作業系統核心的 hash 值
就只有這樣而已

至於要怎麼抓 "竄改" 呢？

比如，如果我們把 bootloader 和 核心的 hash 值，拿來當作加解密用的 key
可不可以？

這樣一來，只要 bootloader 或作業系統被竄改過
hash 就會變，就無法解密 軟體或硬體加密的系統碟
( 但是 TPM 本身並不參與系統碟資料加解密的過程 )

可是這種作法有個問題，就是我只要知道系統的 hash 值
也就知道了加密用的 key，這樣顯然是很不安全的

那怎麼辦，只好用下面的 sealed storage


: 2. Sealed Storage：只有正確的軟體、硬體組合可以請求 TPM 解密。

只有在 bootloader 和作業系統的 hash 值是對的時候
才可以 unseal，拿到解密用的 key

不過只要有 root 權限，開機後 (解密後)
不管有沒有 TPM 都可以直接拿到 master key



TPM 本身不是用來加解密資料的
TPM + 軟體加密 是可行的
TPM + 支援 SED (TCG Opal) 的硬碟，也是可行的

TPM 本身沒不意味者就是使用硬體加密
它單純的是用來確認開機過程中的每一環節都沒被竄改
但是如果真的被竄改了，TPM 也不會阻止系統開機
會讓系統開不起來的是其它機制，例如無法 unseal key 所以無法解密

如果僅僅是單純在 bios 啟用 TPM，是無法享受到 TPM 的功能的
要搭配加密才會有使用 TPM 的意義

--