问题
假设我有 3 台计算机,每台都嵌入了 TPM。我还有一对非对称密钥,是我在其他地方创建的。我想将我创建的相同私钥存储并导入到上述 3 台计算机的 TPM 上。可以吗?
根据我读过的API ,对于2.0 版本,我似乎看不到它的工作。对于一个对象,只有一个“导入”函数可用,这似乎太模糊了,无法提供具体的答案。
假设我以某种方式设法将外部私钥存储到 TPM 中,我也想使用它。是否有任何工具或开源工具可以完成所有操作?
解答
由于 TPM 的工作设计特性,在多个可信平台模块 (TPM) 上存储同一个私钥通常是不可行的。每个 TPM 都旨在安全地生成和存储与特定硬件及其唯一身份绑定的密钥。
以下是需要考虑的几个关键点:
密钥生成和绑定:在 TPM 中生成密钥时,该密钥将与该特定 TPM 绑定。如果您尝试将私钥从一个 TPM 导出到另一个 TPM,通常无法导入,因为密钥已绑定到硬件。
密钥迁移:虽然某些 TPM 允许密钥迁移或密钥封装,但这通常需要使用专门创建为可导出的密钥,并且可能仍需要与原始 TPM 交互。对于需要保密的私钥来说,这不是标准做法。
使用密钥分割或共享:如果您需要跨多个系统访问同一个私钥,请考虑使用密钥分割技术,将私钥分成几部分并存储在不同的 TPM 上,或者使用可以促进这一点的密钥管理系统。
可导出密钥:如果您需要共享密钥,您可能需要研究在 TPM 之外生成密钥,然后以符合其安全协议的方式将其导入每个 TPM。
总之,通常无法将同一个私钥直接导入多个 TPM。您需要使用不同的方法,例如密钥包装或拆分,具体取决于您的安全要求和用例。