|
安全PC与普通PC的最大区别在于前者采用了安全芯片,这块安全芯片的采用,使安全PC在功能上具备了普通PC不具备的优势。
硬件级别的加密
安全PC有何神奇之处?图1是它在应用的一个例子,我们在A台式机(安全PC)中创建的文件在B台式机(普通PC)中竟然是一堆乱码,安全PC采用了硬件级别的加密,由安全芯片来“看管”你的文件。
图1:你的文件在本机上加密后,复制到其他PC上只能看是一堆乱码。
目前安全PC上所采用的安全芯片都被称为TPM安全芯片,TPM的全称为Trusted Platform Module(信任平台模块),旨在将PC变成一个安全可信的计算平台;另一方面,TPM是一个国际性行业规范,它是由TCG组织制定的(TCG组织由Intel、AMD、MicroSoft、IBM、惠普、SUN等几十家巨头成员组成,目的在于建立可信任的安全计算标准)。目前已制定了TCG TPM v1.1和TCG TPM v1.2两个规范(后者兼容前者),符合TPM规范生产的安全芯片具有一致性和通用性,也就是我们这里所说的TPM安全芯片。目前国内品牌安全PC采用的2种TPM安全芯片——联想和兆日,它们都符合TCG TPM v1.2规范(以下简称TCG 1.2)。
图2:安全芯片是安全PC的灵魂,它在总线上的位置如图。
TPM安全芯片的位置在主板上(图2),由于规范化设计,各厂商的产品在外观和引脚方面都大同小异,联想的“恒智”和兆日的“SSX35”安全芯片外观一致:采用TSOP封装,都拥有28个引脚。安装方式有可插拔和不可插拔两种。对于可插拔的产品来说,厂商可以将TPM安全芯片作为配件来销售(图3),如联想开天M400S和清华同方超C4200,优点是销售灵活性好,而且一旦TPM芯片发生故障,不需要更换整个主板,只需要更换TPM芯片,从而节省用户的成本,缺点是容易窃取,可靠性稍低;采用不可插拔的产品有浪潮英政3600和方正君逸M500,优缺点刚好相反。不过有一款产品的安全芯片比较特殊,惠普 Compaq dc7600 CMT直接将TPM安全芯片整合到了网卡芯片中,你在主板上是看不到的。
图3:安全芯片由可插拔和不可插拔2种安装方式,图为主板上的可插拔安全芯片。
安全芯片的功能
TPM安全芯片到底是如何来实现安全的?我们先来看看它的硬件功能。
TPM安全芯片的实质是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为各种计算平台提供加密和安全认证服务。更具体地说,TPM安全芯片既是密钥生成器、又是密钥管理器件,还提供了统一的编程接口。密钥是打开加密文件的唯一钥匙,TPM安全芯片的一个重要作用即加强了对密钥的管理,芯片以硬件来生成、存储和管理密钥,TPM安全芯片可以将密钥存储在受TPM控制器保护的非易失性存储器中。TPM的硬件功能包括多方面特性,它们包括:
第一,TPM安全芯片的硬件随机数发生器能产生RSA密钥对,用于非对称的加密与解密,以安全地存储和传送机密信息。由于运算集中在TPM安全芯片中进行,因此相对于软件RSA运算来说,它能同时提高系统性能与加密性能。
第二,TPM安全芯片采用Hash算法来验证PC系统软硬件的可信性。TPM安全芯片可以存储PC系统的Hash算法特征码(Hash算法特征码是预先从PC配置和系统信息中计算出的唯一数字),Hash算法特征码代表了一个硬件平台的特征,并且具有唯一性和不可逆性,它可用于在系统启动时验证PC的配置,然后将测量结果存储在安全的非易失性存储器中,通过比较后续的测量结果与所存储的测量结果,PC的任何变化都将警告系统:软件或硬件已经被修改,表明可能有病毒或蠕虫入侵。
第三,TPM安全芯片还提供和管理初始化功能,以允许所有者启用或关闭芯片的功能、重新初始化芯片并接管所有权。
|
