• [^] # Re: "remote attestation" avouée par TCG et aussi par IBM, refuser = gagn

    Posté par . En réponse à la dépêche Sortie de Linux 2.6.12. Évalué à 3.

    le remote attestation de la plateforme est bien la communication des hashs des composants de cette plateforme

    Donc pour toi la puce envoie directement les hashs brut de fonderie au tiers de confiance (ou alors directement au tiers client )?

    Si tu prend tes propres docs (en version PDF de préférence, les schémas sont illisibles sur la version HTML) Notamment celui ci : http://byte.csc.lsu.edu/~durresi/7502/reading/rc23064.pdf(...) à la page 8 figure 2 section "remote attestation"
    on y voit clairement que les mesures métriques effectuées par les agents ne sortent jamais de la puce. Le service d'attestation recoit une demande sous forme de challenge et renvoit une response. C'est un cas très classique de preuve par déchiffrage de message dans le cadre d'une certification.

    De toute façon, même si les hashs sortaient ils seraient inutilisables. tout d'abord parceque les hashs sont différents (très) sur chaque plateforme, et ensuite parcequ'ils varient d'un boot à l'autre (et oui une carte graphique à 50°c n'aura pas le même hash que la même carte graphique à 20°c). C'ets pas un jeu complexe d'échange entre le TPM et les agents de mesures que le matériel est certifié. (Un peu comem pour les empreintes digitales, le TPM cherche des "points de correspondance" quand il en a suffisament il valide, si ca ne marche pas il rejette).

    Bref l'interet de faire sortir les hashs de la puce TCPA est rigoureusement nul.

    P.S : j'ai beau chercher je ne vois nulle part mention de l'idée de faire sortir les hash de la puce.