- Аттестовать состояние компьютера Linux
Это приложение может проверять подписи, сделанные с помощью cryptographic-id-rs. Когда ваш компьютер находится в заслуживающем доверия состоянии, вы можете сгенерировать закрытый ключ, скрытый в TPM2 вашего компьютера. Этот закрытый ключ может быть запечатан текущим состоянием компьютера (PCR). Затем компьютер может подписать сообщение этим ключом только в том случае, если он находится в правильном состоянии в соответствии с PCR. Например, вы можете запечатать ключ в безопасном состоянии загрузки (PCR7). Если на вашем компьютере загружается операционная система, подписанная другим поставщиком, модуль TPM2 не может распечатать закрытый ключ. Поэтому, если ваш компьютер может генерировать правильную подпись, он находится в этом известном состоянии. Это похоже на tpm2-totp, но использует асимметричную криптографию. Это означает, что вам не нужно хранить код подтверждения в секрете, но вы можете безопасно поделиться им со всем миром.
- Подтвердить личность телефона
Вы можете сгенерировать закрытый ключ, когда ваш телефон находится в надежном состоянии. Если ваш телефон может создать правильную подпись, вы знаете, что это тот же телефон. Поскольку операционная система может получить доступ к закрытому ключу, гарантии безопасности намного слабее, чем при использовании TPM2. Таким образом, проверка так же безопасна, как и ваш телефон. Если вы используете ОС Graphene, я рекомендую Auditor.
- Убедитесь, что человек владеет закрытым ключом
Это работает как раздел выше и имеет те же недостатки. Его можно использовать для проверки кого-то лично, когда он заранее отправляет вам свой открытый ключ.
Это приложение может проверять подписи, сделанные с помощью cryptographic-id-rs. Когда ваш компьютер находится в заслуживающем доверия состоянии, вы можете сгенерировать закрытый ключ, скрытый в TPM2 вашего компьютера. Этот закрытый ключ может быть запечатан текущим состоянием компьютера (PCR). Затем компьютер может подписать сообщение этим ключом только в том случае, если он находится в правильном состоянии в соответствии с PCR. Например, вы можете запечатать ключ в безопасном состоянии загрузки (PCR7). Если на вашем компьютере загружается операционная система, подписанная другим поставщиком, модуль TPM2 не может распечатать закрытый ключ. Поэтому, если ваш компьютер может генерировать правильную подпись, он находится в этом известном состоянии. Это похоже на tpm2-totp, но использует асимметричную криптографию. Это означает, что вам не нужно хранить код подтверждения в секрете, но вы можете безопасно поделиться им со всем миром.
- Подтвердить личность телефона
Вы можете сгенерировать закрытый ключ, когда ваш телефон находится в надежном состоянии. Если ваш телефон может создать правильную подпись, вы знаете, что это тот же телефон. Поскольку операционная система может получить доступ к закрытому ключу, гарантии безопасности намного слабее, чем при использовании TPM2. Таким образом, проверка так же безопасна, как и ваш телефон. Если вы используете ОС Graphene, я рекомендую Auditor.
- Убедитесь, что человек владеет закрытым ключом
Это работает как раздел выше и имеет те же недостатки. Его можно использовать для проверки кого-то лично, когда он заранее отправляет вам свой открытый ключ.
Читать ещё