Core Root of Trust for Measurement (CRTM)

Was ist Core Root of Trust for Measurement (CRTM)?

Das gesamte Vertrauen beginnt mit dem statischen, unver├Ąnderlichen Code, der als Core Root of Trust for Measurement (CRTM) bezeichnet wird. Auf gew├Âhnlichen Computerplattformen ist das BIOS die erste Komponente, die ausgef├╝hrt wird. Daher ben├Âtigt die Trusted Plattform eine zus├Ątzliche Entit├Ąt, die das BIOS selbst misst und als CRTM fungiert. Diese Entit├Ąt ist ein grundlegender Trusted Building Block (TBB), der w├Ąhrend der Laufzeit der Plattform unver├Ąndert bleibt.

Die Funktion

Das Core Root of Trust for Measurement (CRTM) besteht aus den CPU-Anweisungen, die normalerweise in einem Chip auf der Hauptplatine gespeichert sind. Alternativ kann das CRTM auch ein integrierter Teil des BIOS selbst sein. F├╝r die Entwickler gibt es zwei M├Âglichkeiten, das CRTM in das BIOS zu integrieren, wie in der TCG vorgesehen. Zun├Ąchst ist der gesamte CRTM-Code im BIOS-Bootblock enthalten, sodass der Rest des BIOS wie ├╝blich aktualisiert werden kann. Der Nachteil dieses Ansatzes besteht darin, dass der CRTM den Rest des BIOS auf Integrit├Ąt pr├╝fen muss. Die zweite L├Âsung des TCG schl├Ągt vor, die Position von CRTM innerhalb des BIOS nicht genau zu definieren, sodass das gesamte BIOS Teil von TBB wird. In beiden F├Ąllen haben die Hersteller die Verantwortung, ein vertrauensw├╝rdiges CRTM bereitzustellen – eine der wichtigsten TBBs von TCG.

Core Root of Trust for Measurement (CRTM) sollte die Integrit├Ąt des n├Ąchsten Codes, der in der Startsequenz folgt, zuverl├Ąssig messen. Das Ergebnis der Messung wird auf die PCR ausgedehnt, bevor die Kontrolle an den Nachfolgercode in der Sequenz ├╝bertragen wird. Wenn jede Komponente der Reihe nach die n├Ąchste misst, bevor die Kontrolle ├╝bertragen wird, wird eine Vertrauenskette eingerichtet. Wenn diese Messkette die gesamte Boot-Sequenz durchl├Ąuft, spiegeln die resultierenden PCR-Werte die Messung aller verwendeten Dateien wider. Selbst wenn eine der Komponenten in der Kette gef├Ąhrdet ist, kann es nicht vermieden werden, dass sie vor dem n├Ąchsten Neustart gemessen wird. W├Ąhrend der Ausf├╝hrung ist die kompromittierte Software technisch nicht in der Lage, die erweiterte Messung von der PCR zur├╝ckzuholen.

Da die Kontrolle auf die sch├Ądliche Software ├╝bertragen wird, k├Ânnen alle nachfolgenden Messungen ausgef├╝hrt werden. Technisch gesehen ist es dem kompromittierten Code jedoch nicht m├Âglich, die gef├Ąlschten Messungen zu generieren, die einmal auf PCR ausgedehnt worden w├Ąren.

Die Vertrauenskette

Die Technologie der Core Root of Trust for Measurement (CRTM) unterst├╝tzt sowohl eine statische Vertrauenskette als auch eine dynamische Vertrauenskette. Die statische Vertrauenskette beginnt, wenn die Plattform eingeschaltet oder die Plattform zur├╝ckgesetzt wird, wodurch alle PCRs auf ihren Standardwert zur├╝ckgesetzt werden. F├╝r Serverplattformen wird die erste Messung durch Hardware, sprich den Prozessor, durchgef├╝hrt, um ein digital signiertes Modul zu messen, das vom Chipsatz-Hersteller bereitgestellt wird. Der Prozessor ├╝berpr├╝ft die Signatur und Integrit├Ąt des signierten Moduls, bevor es ausgef├╝hrt wird. Der ACM misst dann das erste BIOS-Codemodul, das zus├Ątzliche Messungen durchf├╝hren kann.

Die Messungen der ACM- und BIOS-Codemodule werden auf PCR0 erweitert, das die statische Kernwurzel der Vertrauensmessung Core Root of Trust for Measurement (CRTM) sowie die Messung der BIOS Trusted Computing Base (TCB) enthalten soll.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte