Trusted Execution Technology (TXT) --- 度量（Measurement）篇

版权声明：本文为博主原创文章，未经博主允许不得转载。http://www.cnblogs.com/tsec/p/8413537.html

0. 导读

TXT基本原理篇介绍了TXT安全度量的基本概念，包括静态度量和动态度量。只有确保度量是真实的、准确的和受保护的，度量代码和配置才有意义。那么构成“安全”度量需要定义信任链（Chain of Trust），并确保：1. 度量是基于硬件的；2. 度量是免受篡改受保护的。对TXT而言，信任根（Root of Trust）就是CPU，信任根是启动信任链的组件，信任链从一个可信组件（硬件信任根）开始去度量下一个组件，直到所有需要度量的组件度量完毕。度量值被扩展（extend）到相应的TPM PCRs中，以便用于后续创建启动控制策略（LCP）以及安全启动的可信证明。由于Intel TXT的基本原则之一是所有要执行的code，只有度量后才可以执行。因此，度量值有可能已经包含了恶意代码，会使得PCR值与预期的“已知正确”的值不同，从而表明当前环境不可信，这就是度量的意义所在。

参考上面这张图，我们来理一下TXT平台启动时会发生什么。

1. TXT静态度量序列

CPU Microcode

1. 加载BIOS ACM到CPU internal安全内存中，与外界隔离；
2. 验证ACM的签名是否有效；
3. 若签名可信，则度量BIOS ACM并Extend到PCR0中，从而启用可信度量核根（Core Root of Trust Measurement, CRTM）;
4. 仅当上述操作执行通过，CPU Microcode才会
   • 通过启用TPM Locality 3访问和开放TXT private registers的访问来打开ACM模式；
   • 执行BIOS ACM code；
   • 使用CPU internal 安全内存，然后验证并确保ACM在执行前免受恶意代码攻击。

BIOS ACM

1. 度量重要BIOS组件，并将度量值扩展到PCR0；
2. ACM检查内存中是否存在隐私信息，即检查Secret Flag register位是否被置起，若被置起，则认定内存中还驻留Secret，会存在泄露风险，此时需要reset系统或清除内存和secret flag，然后验证BIOS启动代码的完整性；
3. 退出ACM模式，通过禁用Locality 3，来禁止访问TXT private registers；
4. 跳到BIOS启动代码。

BIOS

1. 度量其余BIOS code，并将度量值Extend到PCR0；
2. 配置平台；
3. 度量BIOS配置，并将度量值Extend到PCR1；
4. 通过GETSEC指令再次执行BIOS ACM，以便进行安全检查；
   • CPU Microcode加载ACM到internal 安全内存中，并执行相同的验证，然后启用ACM模式并执行请求的ACM函数，即内存安全检查；
   • ACM完成检查，退出ACM模式，返回BIOS。
5. 结束平台配置；
6. 使用GETSEC指令再次调用BIOS ACM，锁定BIOS配置；
   • CPU Microcode加载ACM到internal 安全内存中，并执行相同的验证，然后启用ACM模式并执行请求的ACM函数，即锁定配置；
   • ACM完成检查，退出ACM模式，返回BIOS。

锁定配置后，BIOS可能执行其它Firmware，

1. 度量任何Option ROM code，扩展度量值到PCR2；
2. 执行Option ROM code for each device。

Option ROM on device

1. 度量任何隐藏的Option ROM code，并扩展到PCR2；
2. 配置并启动device；
3. 度量device 配置信息，扩展度量值到PCR3；
4. 返回BIOS。

BIOS

1. 选择一个引导设备；
2. 度量IPL（Initial Program Loader），尤其是主引导记录（MBR），扩展度量值到PCR4；
3. 执行IPL code。

IPL

1. 度量IPL配置，扩展到PCR5；
2. 加载并执行OS Loader。

此时，BIOS已使平台准备好了IPL，OS Loader执行后，接着执行正常的引导过程。通常情况下，开启Intel TXT的OS，加载的第一个模块是TBoot，而非内核模块。TBoot模块的目的是以安全模式来初始化平台并发起动态度量过程，即安全启动。

2. 动态度量过程（安全启动）

这是TXT技术的重要组成部分，它控制宿主OS如何进入安全执行模式并称为可信的OS。安全模式特点如下：

1. 宿主OS code已被度量过，且度量值是已知的好结果（依据宿主平台建立的LCP），即宿主OS是可信的；
2. 可信OS从一个确定的状态开始执行，从实模式启动，然后转换到保护模式下；
3. OS有Locality 2的访问权限，此时动态PCR已经被重置位默认值，但DRTM PCR已扩展，
   • 使用SINIT ACM度量值扩展PCR17，该ACM即是动态可信度量根（Dynamic Root of Trust Measurement， DRTM）;
   • 满足LCP策略，并允许安全启动；
   • 使用可信OS的度量值来extend PCR18。

为了进入安全模式以及启动DRTM，OS所做的与BIOS所做的静态度量原理是一致的。在宿主OS进入安全模式前，必须将平台置于已知状态，然后宿主OS调用GETSEC的SENTER指令，即执行SINIT ACM：

1. 加载SINIT ACM到CPU安全内存；
2. 验证ACM与芯片组相匹配，即ACM的公钥Hash值必须与硬编码在芯片组里的Hash值相匹配；
3. 验证ACM签名，并执行度量；
4. 重置PCR17~PCR20，开启DRTM，扩展SINIT ACM度量值到PCR17；
5. 若2和3所示检查通过，CPU Microcode才会执行ACM，
   • 启用ACM模式，如此可以访问TPM Locality 3，并开启TXT private register访问权限；
   • 执行SINIT ACM code。

SINIT ACM

1. 查看是否被撤回，判断当前执行的SINIT ACM是为最新版本，且设置了撤回级别，即请求撤回存储在TPM中的旧版本SINIT ACM；
2. 验证平台已通过BIOS正确配置，表明OS有合适的条件来进行安全启动；
3. 度量可信OS code；
4. 执行Launch Control Policy（LCP）引擎，验证属主LCP，以决定是否由可信OS来做一个安全启动；
5. 如果上述检查失败，则认为存在恶意攻击，这将导致TXT平台复位，并确保内存中不会驻留恶意代码；
6. 若上述检查都通过，则ACM执行如下操作，
   • 用LCP扩展PCR17来允许安全启动；
   • 用可信OS度量值扩展PCR18；
   • open Locality 2的访问权限；
   • 退出ACM模式，并跳至可信OS的入口点。

随后，可信OS将获得控制权，能够extend PCR17~PCR22。例如，OS可以度量额外需要执行的code到PCR19，度量可信OS配置到PCR20，地理位置扩展到PCR22等等。

3. 总结

以上就是TXT平台的静态引导过程和动态安全启动的所用流程，是否对TXT平台启动时会发生什么有了更清晰的认识呢。本文重在理清TXT启动流程，对涉及到某些知识没有详细的描述，如启动控制策略（LCP），这个以后会再介绍。若有问题，请留言，谢谢。