Section : Security systemName : Tomohiko . YoshidaDate : 12/08/2009

2

『世界を繋ぐソリューション』

--- JRF Work Shop 2009 ---

What is TPMHWSWUse caseIntroduction of the demoQuestion and Answer

--- JRF Work Shop 2009 ---

What is TPMHWSWUse caseIntroduction of the demoQuestion and Answer

Agenda

3

『世界を繋ぐソリューション』What is TPM•

Trusted Platform Module–

28pin SOP•

Crypto Engine–

RSA2048，SHA，HMAC•

Secure Memory–

NV-RAM•

PCR（Platform Configuration Register）保持

–

PCR 24•

RNG–

真正乱数（256bit以上）

•

耐タンパー性パッケージ

•

Bus-Encryption•

Counter•

etc..

4

『世界を繋ぐソリューション』

ComponentsTPM interfaceTPM chip maker

ComponentsTPM interfaceTPM chip maker

HW

5

『世界を繋ぐソリューション』Ｃｏｍｐｏｎｅｎｔｓ

乱数発生器乱数発生器RSARSA

エンジエンジンン

不揮発性不揮発性

ストレージストレージ

Key Key

生成生成

プラットフォームプラットフォーム

構成レジスタ構成レジスタ

(PCR)(PCR)認証認証IDID鍵鍵

(AIK)(AIK)

オプトオプト

インイン

インタフェース部

SHASHA--11エンジンエンジン

Trusted Platform Module (TPM)Trusted Platform Module (TPM)

パッケージパッケージ

I/OI/O

実行実行

エンジンエンジン

プログラムプログラム

コードコード

6

『世界を繋ぐソリューション』TPM Ｉｎｔｅｒｆａｃｅ

• ＰＣ系– ＬＰＣ（Ｌｏｗ

Ｐｉｎ

Ｃｏｕｎｔ）

• Ｅｍｂｅｄｄｅｄ系– Ｉ２Ｃ（or SM-BUS）– SPI

7

『世界を繋ぐソリューション』TPM chip maker

• Atmel• Broadcom• infineon• Nuvoton• STMicroelectronics

8

『世界を繋ぐソリューション』

Software layer

Trusted Boot

Hierarchy of KEY

Software layer

Trusted Boot

Hierarchy of KEY

SW

9

『世界を繋ぐソリューション』Software layer

Hardware

ＴＰＭ １．２

TPM Device Driver

TCG Software Stack

Ａｐｐｌｉｃａｔｉｏｎ

CSP(TSS対応）

CAPI PKCS#11（TSS対応）

Ａｐｐｌｉｃａｔｉｏｎ

10

『世界を繋ぐソリューション』

LogLog

Trusted BootCRTM：ROMCRTM：ROM

ROMPeripheral

ROMPeripheral

LoaderLoader

KernelKernel

PCR

ｘｘ

：

ｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘ

Service APLService APL

measurement

measurement

measurement

measurement

Measurement

Log

11

『世界を繋ぐソリューション』After Trusted Boot？Linux-IMA LSM

BOOT-Loader（Ｇｒｕｂ-ＩＭＡ）

Ｋｅｒｎｅｌ（Ｌｉｎｕｘ-IMA）

TPM-BIOS

or

police-service

Hash計算

正解値との比較

APLの起動中止 APLを起動

Customer spec.

+ PCR xx + PCR xx

PCR 00 ：

ｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘ

PCR 01 ：

ｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘ

：

PCR 23 ：

ｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘ

正解値はTPM内

SecureROM（NV-RAM）

又は、SEAL暗号で保護

12

『世界を繋ぐソリューション』

Attestation ID Key(AIK)

・所有者により生成・構成証明・機器証明

TPM-chipTPM-chip

Hierarchy of KEYEndorsement Key

(EK)・TPM製造時に生成

・所有権確立に必要

Storage Root Key(SRK)

・所有者により生成・全て鍵の基点

Storage Key

Signing Key Storage KeySigning Key

(移行可能）

(移行可能） (移行可能）

(移行可能） (移行可能） (移行可能）

(移行不可能）

(移行不可能）

(移行不可能）

ラッピング

ラッピング

ラッピング

Storage Key Storage Key

Storage Key

Storage Key Signing Key

13

『世界を繋ぐソリューション』

ＭＦＰDigital contents deliveryImage device搭載が予想されそうな分野

ＭＦＰDigital contents deliveryImage device搭載が予想されそうな分野

Use Case

14

『世界を繋ぐソリューション』Security policy

機器構成の正当性機器構成の正当性

機器の正当性機器の正当性 情報の保護情報の保護

アプリケーショアプリケーショ

ンの改竄検出ンの改竄検出 マルウェアの検出マルウェアの検出

15

『世界を繋ぐソリューション』MFP

内部の情報などを暗号化

画像処理装置におけるセキュリティ標準であるIEEE P2600

– 「装置内部に保存されるデータの保護」

16

『世界を繋ぐソリューション』Digital contents delivery• TPMにてデジタルデータを保護

– 復号されたデジタルデータの流出

• 機器認証

– 不正機器とのペアリング

• コンプライアンスへの対応として

– ＴＰＭ

17

『世界を繋ぐソリューション』Image display• 特定の機器のみＢｉｎｄｉｎｇ

– 不正機器とのペアリングをしない

• Ｂｉｎｄｉｎｇ情報をＴＰＭで保護

• 対クラッカー– 正常に情報が読み出せるのは、電源投入後の１回のみ

18

『世界を繋ぐソリューション』Use Case

• ＡＴＭ、ＰＯＳ、決済端末– ＰＣＩ-ＤＳＳ

• スマートグリッド（スマートメータ）– そして家電製品へ

• 情報キオスク端末（住民票、印鑑登録証明まど）

• ＮＦＣとの連携

• ゲーム機

• 遊技機、カジノ、メダル/球計量器

• DLNA– DTCP-IP

今後、搭載が予想されそうな分野

19

『世界を繋ぐソリューション』

iTDDiTSSTALTRS

iTDDiTSSTALTRS

Introduction of the demo

20

『世界を繋ぐソリューション』

Hardware

iTDD / iTDDL• iTDD（Insight TPM Device Driver）

– TPMデバイスドライバ• iTDDL（Insight TSS Device Driver Library）

– TPMデバイスドライバにアクセスするためのＡＰ– *WinXP系のみ使用。他OSはTSSに包含。

ＴＰＭ １．２

Driver

iTDD

TSS

iTDDL

TCS（TSS Core Service）

TSP（TSS Service Provider）動作環境

OS WindowsXP, XP-emb , CE , Linux , BSD

TPM 各社

STmicro , Nuvoton , ATMEL , Broadcom , infineon

TSS CTSS( Ntru ) , iTSS , TrouSerS

Bus LPC , I2C , SPI

Size iTDD 11KBiTDDL 56KB

21

『世界を繋ぐソリューション』

Hardware

iTSS• iTSS（Insight TPM Software Stack）

– TSSに規定されている複雑な 構成 / 管理 / ＡＰＩ

を簡略化することで、OS非依存

かつコンパクト化。

ＴＰＭ １．２

Driver

TPM Device Driver

TSSiTSS

動作環境OS OSには依存しない

WindowsXP, XP-emb , CE , Linux , etc

TPM 各社

STmicro , Nuvoton , ATMEL , Broadcom , infineon

Size 90KB

APLＡｐｐｌｉｃａｔｉｏｎ

22

『世界を繋ぐソリューション』

Hardware

TAL• TAL（TPM Access Library）

– 複雑なTSS規定のTSPIをより簡素化し使い易くしたAPI

ＴＰＭ １．２

Driver

TPM Device Driver

TSSTSS

動作環境

OS OSには依存しない

WindowsXP, XP-emb , CE , Linux , etc

TSS TrouSerS , CTSS ( Ntru )

Size 80KB

TALTAL

APLＡｐｐｌｉｃａｔｉｏｎ

23

『世界を繋ぐソリューション』TRS• TRS（TPM Remote access System）

TPM system の開発に必要なTPMの– 初期化 / 初期設定機能

– 情報取得機能– ベンチマーク機能– 暗号化 / 復号機能– DAM機能試験– key Migration / Key backup / Key import 試験– Remote Control

HOST側

動作環境

OS WindowsXP ，

Vista

Client側

動作環境

OS WindowsXP , XP-emb , CE , Linux

TPM 各社

STmicro , Nuvoton , ATMEL , Broadcom , infineon

TSS ・TrouSerS + TAL・CTSS + TAL・iTSS

24

『世界を繋ぐソリューション』機器構成

Armadillo-500 Armadillo-500

log

25

『世界を繋ぐソリューション』Information

26

『世界を繋ぐソリューション』Measurement

27

『世界を繋ぐソリューション』Encrypt/Decrypt

28

『世界を繋ぐソリューション』Key Import

29

『世界を繋ぐソリューション』Migration

30

『世界を繋ぐソリューション』Dictionary Attack

31

『世界を繋ぐソリューション』最後に

• 本格的なクラウドコンピューティング

– どこでも、誰でも、いつでも

• スマートグリッドとIT– スマートホーム

• 家電機器のネットワーク化– ホームセキュリティ

32

『世界を繋ぐソリューション』Thank you for your time

エンジニアリングパートナーとして