近二十年來(lái)，可信計(jì)算組的可信平臺(tái)模塊 （TPM） 規(guī)范一直為計(jì)算和服務(wù)器應(yīng)用程序的信任提供基礎(chǔ)。最新版本 TPM 2.0（也稱為 ISO/IEC 11889）允許離散、集成、固件、軟件甚至虛擬實(shí)現(xiàn)，以擴(kuò)展其在移動(dòng)和嵌入式應(yīng)用中的使用。TPM 用于測(cè)量將執(zhí)行的代碼（稱為測(cè)量的啟動(dòng)），還可以使用密碼、證書(shū)、數(shù)字簽名和/或加密密鑰對(duì)平臺(tái)進(jìn)行身份驗(yàn)證和保護(hù)。通常，使用 TPM 2.0 保護(hù)平臺(tái)的過(guò)程從平臺(tái)系統(tǒng) BIOS 及其對(duì)任何基礎(chǔ)固件的支持開(kāi)始。

作為 BIOS 的替代或增強(qiáng)，UEFI 論壇開(kāi)發(fā)的統(tǒng)一可擴(kuò)展固件接口 （UEFI） 規(guī)范為計(jì)算機(jī)操作系統(tǒng) （OS） 和平臺(tái)固件之間的接口定義了一個(gè)新模型。UEFI 固件通過(guò)初始化平臺(tái)并加載操作系統(tǒng)來(lái)執(zhí)行 BIOS 的等效性，結(jié)合 TPM 2.0、UEFI 固件支持更安全的系統(tǒng)、更快的啟動(dòng)時(shí)間和改進(jìn)的性能，UEFI 安全啟動(dòng)有助于在操作系統(tǒng)加載之前抵御惡意軟件攻擊。UEFI 固件的處理器體系結(jié)構(gòu)不可知的方法支持 x86、x64 和 Arm 設(shè)計(jì)。

隨著美國(guó)大趨勢(shì)（AMI）宣布支持在運(yùn)行公司Aptio V UEFI固件的基于Arm的系統(tǒng)上進(jìn)行TPM，UEFI的ARM實(shí)施得到了及時(shí)的推動(dòng)。通過(guò)擴(kuò)展其以前對(duì) x86 平臺(tái)的 TPM 支持，AMI 為系統(tǒng)設(shè)計(jì)人員提供了在基于 Arm 的系統(tǒng)中輕松使用 UEFI 固件的替代方案，并能夠更好地保護(hù)其系統(tǒng)及其中存儲(chǔ)的信息。

為基于 Arm 的系統(tǒng)添加的 TPM 支持包括特定于 Arm 的功能，例如 Arm 信任區(qū)技術(shù)中的 TPM 驅(qū)動(dòng)程序支持和 Linux 操作系統(tǒng)支持。BIOS 和操作系統(tǒng)可以使用安全監(jiān)視器調(diào)用 （SMC） 通過(guò)命令響應(yīng)緩沖區(qū)接口訪問(wèn) Arm 信任區(qū) TPM。手臂信任區(qū)中的 TPM SMC 通信庫(kù)由 AMI 開(kāi)發(fā)。TPM 支持的其他通用功能包括加密算法和安全引導(dǎo)變量的度量。

信任鏈通過(guò) TPM 進(jìn)行維護(hù)。TPM 在 Arm 啟動(dòng)階段 1 初始化，這將啟動(dòng)信任鏈。在每個(gè)階段之間，執(zhí)行下一階段的測(cè)量。當(dāng) AptioV 引導(dǎo)加載程序被授予控制權(quán)時(shí)，AMI TCG2 模塊將測(cè)量操作系統(tǒng)引導(dǎo)加載程序。

使用 UEFI 作為輔助引導(dǎo)加載程序，無(wú)需嵌入式系統(tǒng)設(shè)計(jì)人員學(xué)習(xí)每個(gè)硅平臺(tái)或微控制器的不同安全方案。支持 TPM 的基于 UEFI 的固件解決方案（例如來(lái)自 AMI 的 Aptio V UEFI BIOS 固件的 TCG2 模塊）有助于建立一種基于標(biāo)準(zhǔn)的通用方法，以便在下一代 Arm 和其他平臺(tái)中實(shí)現(xiàn)安全和可測(cè)量的啟動(dòng)。

審核編輯：郭婷