12、深入理解启动控制策略：原理、挑战与管理技巧

深入理解启动控制策略：原理、挑战与管理技巧

1. PCRInfo与策略生成

PCRInfo是一种用于标识所选PCR的结构，它包含通过对所选PCR值进行哈希处理而创建的复合哈希摘要。当策略引擎执行时，它会读取每个PCRInfo，确定要评估的PCR，对这些所选PCR进行哈希处理（使用TPM中的当前值），并将该摘要与PCRInfo中的复合哈希摘要进行比较。只有当TPM中所有所选PCR的值与用于创建PCRInfo的PcrDump文件中的对应值相同时，摘要才会匹配。

LPC策略生成器会构建一个包含PCONF策略元素的策略列表，并提供对该列表进行签名的方法（用户需指定包含公共和私有签名密钥的密钥文件）。最后，LPC生成器会生成策略数据结构和NV策略数据（用于存储在TPM NVRAM中的策略部分，其中包含策略数据结构的测量值）。如果需要更新TPM NVRAM，则需要使用不同的工具，该功能通常由OS/VMM（如果OS/VMM是TPM所有者）或用于建立TPM所有权的管理软件提供。

2. 使用PCONF策略的困难

理想的PCONF策略应包含PCR0，但指定PCONF策略存在挑战。每次BIOS更新都会改变PCR0的值，因此必须更新PCONF策略以包含新的“已知良好”值。如果在更新策略之前更新BIOS，平台的测量启动将失败。为了在BIOS更新之前更新策略，必须提前知道新的PCR值。以下是一些解决方案：
- 离线更新 ：在离线状态下（此时机器不受攻击）使用ANY策略更新机器（或不执行测量启动），捕获新的PCR值，更新策略，并将策略推送到所有将进行BIOS更新的平台。需要确保在PCONF策略中保留旧的平台配置，以便平台在BIOS更新之前