WEBVTT

00:00.090 --> 00:01.050
导师：在本课中,

00:01.050 --> 00:09.750
我们将讨论作为UEFI一部分存在的可信平台模块（TPM）和硬件安全模块（HSM）｡

00:09.750 --> 00:11.310
但首先, 我想向您介绍硬件信任根,

00:11.310 --> 00:14.790
称为RoT｡

00:14.790 --> 00:20.850
现在, 硬件信任根是计算系统的所有安全操作所依赖的基础｡

00:20.850 --> 00:23.580
它包含用于加密功能的密钥,

00:23.580 --> 00:26.100
并启用安全引导过程｡

00:26.100 --> 00:27.540
这是固有的信任,

00:27.540 --> 00:30.600
因此必须通过设计来确保安全｡

00:30.600 --> 00:35.550
现在, 硬件信任根是嵌入在计算机系统中的加密模块,

00:35.550 --> 00:40.380
可以认可可信执行并证明引导设置和指标｡

00:40.380 --> 00:42.570
这听起来可能是一个复杂的概念,

00:42.570 --> 00:45.210
但您一直在使用信任根｡

00:45.210 --> 00:50.760
事实上, 计算机UEFI中的TPM模块是一个硬件信任根｡

00:50.760 --> 00:56.850
从本质上讲, 信任根将用于扫描系统和操作系统文件的引导指标｡

00:56.850 --> 00:57.960
然后, 信任根可以向处理器发送一份报告,

00:57.960 --> 01:05.340
该报告使用信任根证书进行了数字签名, 以表明它们是可以信任的｡

01:05.340 --> 01:08.940
从本质上讲, 这个硬件信任根是一个数字证书,

01:08.940 --> 01:13.920
但它作为系统固件的一部分嵌入在芯片中｡

01:13.920 --> 01:21.570
现在, 最常用的硬件信任根是计算机中的受信任平台模块或TPM｡

01:21.570 --> 01:31.080
TPM是数字证书､ 密钥､ 密码散列以及其他用户和平台标识信息的基于硬件的存储规范｡

01:31.080 --> 01:35.880
每个TPM微处理器都是用一个唯一且不可更改的密钥硬编码的,

01:35.880 --> 01:39.180
该密钥被称为背书密钥或EK｡

01:39.180 --> 01:42.120
您的系统将使用此TPM及其密钥来确保系统固件､

01:42.120 --> 01:52.230
引导加载程序和操作系统内核未通过使用可信平台模块中执行的多个不同功能进行篡改或修改｡

01:52.230 --> 01:56.340
首先, TPM提供了一种安全的输入和输出方法｡ 

01:56.340 --> 02:02.010
其次, 它内部有一个加密处理器, 提供一个真正的随机数生成器｡

02:02.010 --> 02:04.650
TPM还具有RSA密钥生成器､

02:04.650 --> 02:09.570
SHA-1散列生成器以及加密和解密签名引擎｡

02:09.570 --> 02:13.320
除此之外, TPM还有一个持久性存储器,

02:13.320 --> 02:19.680
其中包含一个称为背书密钥的数字密钥和一个称为SRK的存储根密钥｡

02:19.680 --> 02:22.320
现在, TPM内部还有一个多功能内存,

02:22.320 --> 02:31.620
其中包括平台配置寄存器（PCR）､ 证明身份密钥（AIK）和存储密钥｡

02:31.620 --> 02:35.880
现在, 这是一个小TPM芯片中的许多功能｡

02:35.880 --> 02:40.710
所以你可能想知道, 我必须记住所有这些不同的东西来应付考试吗？

02:40.710 --> 02:43.410
好消息是, 你没有, 但我想向你介绍这个概念,

02:43.410 --> 02:45.390
因为你会看到它一次又一次,

02:45.390 --> 02:51.540
因为你继续在你的IT和网络安全职业生涯向上｡

02:51.540 --> 02:53.040
相反, 对于考试,

02:53.040 --> 02:54.720
我真的只需要你记住,

02:54.720 --> 02:57.390
可信平台模块或TPM是一个硬件信任根,

02:57.390 --> 03:00.480
它是你系统的一部分｡

03:00.480 --> 03:04.650
它将使您能够确保系统启动时的安全性,

03:04.650 --> 03:08.730
因为此TPM证明我们的UEFI未被修改或篡改,

03:08.730 --> 03:16.470
并且TPM还可用于为您的存储设备提供加密｡

03:16.470 --> 03:19.500
是的, 这是TPM的另一个功能,

03:19.500 --> 03:24.240
因为它可以作为密钥与系统上的全磁盘加密一起使用,

03:24.240 --> 03:27.090
以保护存储设备的内容｡

03:27.090 --> 03:31.620
例如, 如果您在Windows系统上使用具有全磁盘加密的Bitcoin,

03:31.620 --> 03:38.400
则它实际上使用TPM内部的密钥来确保存储设备上的数据保持安全加密｡

03:38.400 --> 03:40.560
TPM可以从UEFI配置工具中启用或禁用,

03:40.560 --> 03:42.990
或者如果您的操作系统支持,

03:42.990 --> 03:48.660
则可以使用操作系统中的工具对其进行管理｡

03:48.660 --> 03:56.970
例如, Windows操作系统允许您使用TPM管理TPM｡

03:56.970 --> 03:56.970
Windows中的组策略控制台工具,

03:56.970 --> 04:02.490
或者如果您使用的是Windows Server环境, 则可以使用组策略编辑器修改它｡

04:02.490 --> 04:03.810
现在, 对于考试,

04:03.810 --> 04:07.290
您不需要知道如何修改或配置TPM, 但在现实世界中,

04:07.290 --> 04:12.510
作为技术人员, 您可能会被要求使用可信平台模块｡

04:12.510 --> 04:16.890
如果你是, 你可以随时在微软查找最新的文档｡

04:16.890 --> 04:16.890
com了解如何正确修改和配置TPM｡

04:20.400 --> 04:27.030
我们必须考虑的另一种形式的硬件信任根被称为硬件安全模块或HSM｡

04:27.030 --> 04:29.550
现在, 硬件安全模块是一种用于生成和存储加密密钥的设备,

04:29.550 --> 04:31.920
与使用基于存储的解决方案相比,

04:31.920 --> 04:37.050
它更不易受到篡改和内部威胁的影响｡

04:37.050 --> 04:41.490
现在硬件安全模块使用加密通行证来保护我们的系统,

04:41.490 --> 04:46.050
因为它们比使用传统的密码或密钥更安全｡

04:46.050 --> 04:52.680
相反, 硬件安全模块包含可与加密设备一起使用的受信任和受保护的数字密钥｡

04:52.680 --> 04:55.680
有许多不同的方法来创建硬件安全模块,

04:55.680 --> 04:58.710
它们也以不同的形式生产｡

04:58.710 --> 05:03.270
例如, 在屏幕上, 您可以看到nCipher硬件安全模块,

05:03.270 --> 05:05.400
它有三种不同的型号｡

05:05.400 --> 05:07.170
有一种是可以放在系统内部的内部卡,

05:07.170 --> 05:09.060
有一种是机架式系统,

05:09.060 --> 05:14.370
还有一种是物联网类型的解决方案｡

05:14.370 --> 05:17.760
这些类型的系统的真正优势是它们是自动化的,

05:17.760 --> 05:21.480
这意味着密钥不会被人类参与所破坏｡

05:21.480 --> 05:25.620
通过将人从等式中删除, 我们可以为我们的系统提供更好的安全性,

05:25.620 --> 05:27.630
并确保它们更安全｡

05:27.630 --> 05:33.060
另一种形式的硬件安全模块是一种看起来像USB拇指驱动器或闪存驱动器的设备,

05:33.060 --> 05:37.560
它可以包含用于加密硬盘驱动器或其他存储设备的数字密钥｡

05:37.560 --> 05:39.870
然后, 要解密和读取该驱动器,

05:39.870 --> 05:47.610
您需要将HSM插入系统, 读取并验证该数字密钥, 然后可以解密存储设备｡

05:47.610 --> 05:50.130
这实际上是一种非常常见的加密硬盘驱动器的方式,

05:50.130 --> 05:54.633
在可信平台模块通常作为我们现代计算机的一部分之前｡