可信计算中的可信根是什么？

可信根（Root of Trust，RoT）是可信计算体系中信任链的起点和基础，是系统中最底层、最小化且必须无条件信任的硬件或软件模块，确保计算设备从启动到运行的每个环节均可被验证，从而构建完整的信任链。

• 核心作用

  信任链的源头：所有后续组件的可信性均依赖于可信根的初始可信状态。例如，系统启动时，BIOS、Bootloader等代码的完整性需由可信根验证，后续操作系统、应用程序的信任传递均基于此。

  不可篡改性：通常通过硬件保护（如固化在芯片中）防止恶意修改。例如，TPM芯片将度量结果存储在受保护的PCR寄存器中，攻击者无法直接篡改。

  度量与验证：对系统启动过程、操作系统、应用程序等逐级进行完整性校验。例如，可信度量根（RTM）会计算BIOS的哈希值，并与预设值比对，确保未被篡改。

• 分类

  可信度量根（RTM）：负责初始化信任链，对系统启动时的代码（如BIOS、Bootloader）进行完整性度量。典型实现包括CPU中的可信执行环境（如Intel TXT、AMD PSP）和TPM芯片中的CRTM。

  可信存储根（RTS）：安全存储敏感数据（如加密密钥、度量结果），确保其机密性和完整性。典型实现包括TPM提供的受保护存储区域（如PCR寄存器、密钥存储）和硬件安全模块（HSM）。

  可信报告根（RTR）：生成并验证设备身份及状态的可信证明（如远程证明场景）。典型实现包括TPM的背书密钥（EK）和远程证明协议（如Intel SGX的RA机制）。

• 典型应用场景

  安全启动（Secure Boot）：从可信根开始逐级验证固件、操作系统加载程序的签名。例如，UEFI Secure Boot通过PKI信任锚（如微软/厂商证书）确保只有受信任的代码可执行。

  远程证明（Remote Attestation）：向第三方证明设备当前运行环境未被篡改。例如，云服务通过TPM的远程证明协议验证虚拟机的可信状态。

  数据密封（Sealing）：将加密数据与特定平台状态绑定，仅当系统处于可信状态时才可解密。例如，TPM可将加密密钥与PCR值绑定，确保密钥仅在特定软件环境下可用。

• 技术实现示例

  基于TPM的可信根：TPM芯片提供安全度量（记录启动过程哈希值到PCR寄存器）、密钥管理（生成和存储加密密钥）和证明功能（通过签名报告证明平台状态）。

  CPU内置可信根：Intel TXT使用CPU微码初始化信任链；ARM TrustZone划分安全世界（Secure World）与非安全世界（Normal World），安全世界作为可信根。

  现代扩展固件可信根：如UEFI Secure Boot中的PKI信任锚；虚拟化可信根如AMD SEV中的安全处理器。

• 重要性及挑战

  重要性：解决“鸡与蛋”问题（信任必须有一个无法被绕过的起点），抵御固件级攻击（如Bootkit、供应链攻击）。例如，若BIOS被篡改，攻击者可控制整个系统，而可信根可检测此类攻击。

  挑战：

  供应链风险：若硬件可信根被预先植入后门（如某些TPM漏洞），整个信任链失效。

  性能开销：加密、度量操作可能影响启动速度。例如，TPM的度量过程需计算哈希值，可能增加启动时间。

  兼容性：老旧设备可能缺乏硬件支持。例如，早期设备未集成TPM芯片，无法支持可信计算功能。

• 相关标准

  TCG标准：定义TPM规范（如TPM 2.0），明确可信根的功能和接口。

  ISO/IEC 11889：标准化可信平台模块，确保不同厂商的TPM芯片兼容。

  NIST SP 800-155：指导硬件可信根的部署，提供安全配置建议。

可信根是可信计算的“信任基石”，通过硬件级保护确保系统从启动到运行全程可信。实际部署中需结合具体场景（如云环境、物联网）选择适配方案，并与其他安全技术（如零信任架构）协同使用，以构建更全面的安全防护体系。