Cryptographic ID 应用
这个应用有三个使用案例:
-
验证 Linux 计算机的状态
当你的计算机处于可信状态时,你可以生成一个隐藏在计算机 TPM2 中的私钥。这个私钥可以与计算机的当前状态(PCRs)进行封存。然后,计算机只能在根据 PCRs 处于正确状态时,使用这个密钥签名消息。例如,你可以将密钥与安全启动状态(PCR7)进行封存。如果你的计算机正在启动由其他供应商签名的操作系统,TPM2 将无法解封私钥。因此,如果你的计算机能够生成正确的签名,它就处于这个已知状态。
你可以使用 cryptographic-id-rs 创建一个封存的私钥并生成这样的签名。这类似于 tpm2-totp,但使用的是非对称加密。这意味着你不需要将验证码保密,但可以安全地与全世界分享。
-
验证手机的身份
当你的手机处于可信状态时,你可以生成一个私钥。如果你的手机能够创建正确的签名,你就知道它是同一部手机。由于操作系统可以访问私钥,因此安全保障比 TPM2 弱得多。因此,验证的安全性与手机本身的安全性相同。
如果你使用 Graphene OS,我推荐使用 Auditor。
-
验证一个人是否拥有私钥
这与上述部分相同,并具有相同的缺点。它可以用于在某人通过安全通道提前将其公钥发送给你时,进行面对面的验证。
