Intel EPID
利用鑒證加強(qiáng)圍圈可信性
Intel? Enhanced Privacy ID (EPID) Security Technology
EPID的一些總結(jié):
到2020年,預(yù)計(jì)將有500到1000億個(gè)已連接的物聯(lián)網(wǎng)設(shè)備,對(duì)于制造商和最終用戶而言,安全性和設(shè)備真實(shí)性都至關(guān)重要。
Attestation的挑戰(zhàn)是,我們其實(shí)需要的是Authentication ,基于對(duì)用戶的隱私保護(hù),不因該需要 Identification。
需要的是 Direct Anonymous Attestation(DAA) 直接匿名證明,DAA就是基于群/組簽名(這個(gè)原理基于啥數(shù)學(xué)證明還不明白)。
Key 分Group key和member key.
什么是EPID(Enhanced Privacy Identification)?
增強(qiáng)的隱私標(biāo)識(shí)(EPID)是Intel的ISO 20008實(shí)施,它解決了PKI安全方案中的兩個(gè)問題:匿名和成員資格撤銷。
對(duì)PKI的第一個(gè)改進(jìn)是為用戶或設(shè)備提供“直接匿名證明”,該功能可針對(duì)給定的訪問級(jí)別對(duì)設(shè)備進(jìn)行身份驗(yàn)證,同時(shí)允許設(shè)備保持匿名狀態(tài)。這是通過(guò)引入組級(jí)別成員身份驗(yàn)證方案的概念來(lái)實(shí)現(xiàn)的。 EPID允許將一組成員專用密鑰關(guān)聯(lián)在一起,并鏈接到一個(gè)公共組密鑰,而不是為單個(gè)用戶分配1:1的公共密鑰到私有密鑰。此公共EPID組公共密鑰可用于驗(yàn)證組中任何EPID成員私有密鑰產(chǎn)生的簽名。最重要的是,包括發(fā)行人在內(nèi)的任何人都無(wú)法知道用戶的身份。僅成員設(shè)備有權(quán)訪問私鑰,并且僅使用正確配置的EPID簽名進(jìn)行驗(yàn)證。
EPID提供的第二個(gè)安全性改進(jìn)是能夠通過(guò)檢測(cè)損壞的簽名或密鑰來(lái)撤銷單個(gè)設(shè)備。如果設(shè)備使用的私鑰已被泄露或被盜,則允許EPID生態(tài)系統(tǒng)識(shí)別出該錯(cuò)誤,可以撤消該設(shè)備并防止將來(lái)發(fā)生任何偽造。在安全性交換期間,EPID協(xié)議要求成員執(zhí)行數(shù)學(xué)證明,以表明他們無(wú)法創(chuàng)建已在簽名吊銷列表上標(biāo)記的任何簽名。內(nèi)置的撤消功能允許立即將設(shè)備甚至整個(gè)設(shè)備組標(biāo)記為撤消,并立即拒絕服務(wù)。它允許僅基于簽名撤銷匿名設(shè)備,這允許發(fā)行者在不知道禁止哪個(gè)設(shè)備的情況下從組中禁止設(shè)備。
案例:
匿名證明硬件設(shè)備是正品是一個(gè)典型案例。
另一個(gè)案例, 是針對(duì)數(shù)字流內(nèi)容的數(shù)字版權(quán)管理。確保數(shù)據(jù)流傳輸?shù)降脑O(shè)備(硬件播放器)是安全真實(shí)。英特爾?Insider™技術(shù)使用了EPID key,可以保護(hù)內(nèi)容在設(shè)備上查看但不可以復(fù)制。
Intel? Insider™技術(shù)
http://blogs.intel.com/technology/2011/01/intel_insider_-_what_is_it_no/
證書請(qǐng)求分發(fā)過(guò)程
參考下圖。這是一個(gè)驗(yàn)證IOT設(shè)備是正品不是假冒品的流程。 Vendor 向Intel 申請(qǐng)key。 Intel 會(huì)生成組key和成員key, 并將key發(fā)給vendor。Vendor會(huì)將成員key發(fā)給IOT 設(shè)備成員。Intel會(huì)刪除成員key,只存儲(chǔ)組key。
對(duì)于支持英特爾?EPID的產(chǎn)品,對(duì)于支持英特爾?EPID的產(chǎn)品,英特爾將512位數(shù)字直接融合到處理器的稱為管理引擎的子模塊中。英特爾?EPID私有成員密鑰使用英特爾?EPID組ID編碼,該ID唯一地將設(shè)備標(biāo)識(shí)為組的一部分。
同時(shí)作為為發(fā)行者和驗(yàn)證者,Intel為使用英特爾?EPID密鑰編碼的設(shè)備維護(hù)公共證書。私有成員密鑰需要與標(biāo)準(zhǔn)PKI私有密鑰相同級(jí)別的保護(hù)。只能使用由RSA安全證書(信任根為Intel)簽名的應(yīng)用程序來(lái)訪問私鑰。其他芯片制造商可以遵循類似的過(guò)程,僅允許其公司的受信任應(yīng)用程序訪問其產(chǎn)品上的私鑰。
供應(yīng)(Provisioning)
設(shè)備部署到現(xiàn)場(chǎng)后,是無(wú)法立即使用英特爾?EPID,需要一個(gè)Provisioning的過(guò)程,啟動(dòng)有個(gè)Provisioning過(guò)程來(lái)獲取訪問Internet的權(quán)限。之后,就可以通過(guò)有效的英特爾?EPID簽名來(lái)證明所有未來(lái)交易的真實(shí)性。
該過(guò)程,驗(yàn)證者主動(dòng)詢問成員,并發(fā)送EPID 公共Key. 成員會(huì)存儲(chǔ)EPID 的組key和私有成員key.
Revocation(吊銷)
EPID通過(guò)標(biāo)識(shí)英特爾?EPID成員簽名或私有成員密鑰(如果能知道的話)來(lái)支持在成員資格級(jí)別進(jìn)行吊銷。EPID也支持整個(gè)組級(jí)別的撤消。
驗(yàn)證者或發(fā)行者都可以發(fā)起撤銷成員,但是只有發(fā)行者可以撤消英特爾?EPID成員或組。
如果撤銷的成員很多,其吊銷列表會(huì)隨著時(shí)間的推移而增長(zhǎng), 會(huì)導(dǎo)致性能線性下降。 這意味著隨著時(shí)間的推移驗(yàn)證鏈中的每個(gè)人都將花費(fèi)更長(zhǎng)的時(shí)間。推薦的解決方案是創(chuàng)建一個(gè)新的組,然后將成員轉(zhuǎn)移到該新組中,最后撤銷舊組。
圖中:
PRIV-RL –已知私鑰
SIG-RL –平臺(tái)成員密鑰未恢復(fù)(not recovered),已知簽名
GROUP-RL –撤消整個(gè)組
成員設(shè)備和發(fā)行者之間的加入?yún)f(xié)議(Join
protocol)支持將有效的英特爾?EPID私鑰傳輸?shù)皆O(shè)備的可能性。密鑰安全和受信任的傳輸機(jī)制,不在協(xié)議范圍內(nèi)。
Quick Facts:
自2008年發(fā)布5系列芯片組以來(lái),英特爾已發(fā)布了超過(guò)40億個(gè)英特爾?EPID密鑰
英特爾?EPID生態(tài)系統(tǒng)中的設(shè)備僅允許使用組ID進(jìn)行匿名身份驗(yàn)證
英特爾?EPID是英特爾直接匿名證明的實(shí)現(xiàn)
英特爾?EPID支持基于私鑰,英特爾?EPID簽名或整個(gè)組的吊銷設(shè)備
芯片提供商可以創(chuàng)建自己的英特爾?EPID生態(tài)系統(tǒng)
OEM / ODM可以使用符合Intel?EPID的芯片設(shè)備來(lái)提供快速而安全的配置
英特爾?產(chǎn)品包括一個(gè)嵌入式的真正隨機(jī)數(shù)生成器-為哈希算法提供更快,更安全的種子值。 (SDK需要在任何英特爾?EPID的實(shí)現(xiàn)中使用安全的隨機(jī)數(shù)生成器。)
總結(jié)
以上是生活随笔為你收集整理的Intel EPID的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
