隨著聯網設備數量激增，結合AI技術的網絡攻擊日益猖獗。在此背景下，歐盟出臺包括《網絡安全韌性法案》在內的各種安全立法和標準，企業不得不加速安全技術升級。

本文將介紹 TPM (Trusted Platform Module，可信平臺模塊），以及 Raspberry Pi 使用英飛凌 TPM 評估板運行功能測試的步驟。英飛凌 OPTIGA TPM 系列包含多種安全控制器，能保護嵌入式設備與系統的完整性和可靠性。借助安全密鑰存儲和對多種加密算法的支持，OPTIGA TPM 以其豐富的功能為關鍵數據和進程提供了強大的保護。

01TPM 基礎知識

TPM 是一種硬件設備，可以集成到計算機主板中，使用硬件總線與系統的其余部分進行通信，用于提供硬件級別的安全功能。TPM 可以用于加密密鑰的生成、存儲和管理，保障計算機平臺在啟動過程中和運行中的完整性。如下圖 (圖1) 為 TPM 2.0 芯片架構與密鑰管理原理：

圖1 TPM 2.0 芯片架構與密鑰管理原理

TPM 的設計重點是安全地存儲加密密鑰，使用加密密鑰保護數據以及提高證書的安全性。TPM 在 Windows 11 系統要求中成為強制性要求時引起了人們的關注，但由于安全問題日益突出，現在許多嵌入式設備也在考慮采用 TPM。下圖 (圖2) 為 TPM 在設備安全體系中的角色：

圖2 TPM 在設備安全體系中的角色

02使用Raspberry Pi檢查TPM運行

在本例中，我們使用了英飛凌提供的 OPTIGA TPM SLB9672 評估板。為了使 TPM 正常工作，需要設備驅動程序和中間件。在本次運行測試中，使用 Embedded Linux TPM Toolbox 2 (ELTT2) 作為中間件。

ELTT2 是一個單文件可執行程序，用于 TPM 2.0 設備的測試、診斷和基本狀態修改。該工具可在 Github 上獲取，適用于在 Linux 系統上運行 TPM 2.0 的環境，并且可以使用 gcc 輕松構建和運行。

評估板的系統要求

硬件

Raspberry Pi 3 Model B V1.2：Raspberry Pi OS (64-bit)

OPTIGA TPM SLB9672 RPI EVAL

軟件

ELTT2

圖3 Raspberry Pi 3 Model B V1.2 與 OPTIGA TPM SLB9672 評估板硬件連接示意圖

準備演示

01安裝 Raspberry Pi OS

使用 Raspberry Pi Imager 編寫“Raspberry Pi OS”

02檢查 TPM 設備驅動程序，驅動已經集成在 OS 中裝 Raspberry Pi OS

啟動 Raspberry Pi 后，執行以下作以檢查 TPM 是否被識別

$ ls -l /dev/tpm*

圖4 TPM 設備驅動識別驗證終端界面

03ELTT2 的準備工作

從 Github 下載源代碼(https://github.com/Infineon/eltt2)

使用 make 命令編譯源碼并生成 eltt2

圖5 ELTT2 工具源碼編譯與生成過程終端界面

測試示例

按如下方式調用命令：

- $ sudo ./eltt2 < option(s)>

① sudo ./eltt2 -g：讀取 TPM 的固定屬性。

圖6 TPM 硬件屬性輸出

② sudo ./eltt2 -s [哈希算法] <數據字節>：使用 SHA-1/256/384 哈希算法對特定數據進行哈希處理。下圖 (圖7)、(圖8) 分別為 SHA-1 與 SHA-384 哈希計算結果：

圖7 SHA-1 哈希計算結果

圖8 SHA-384 哈希計算結果

③ sudo ./eltt2 -G <數據長度>：獲取指定數量的隨機字節，以下指定了 08h 和 14h 的隨機字節。

圖9 硬件隨機數生成輸出

④ sudo ./eltt2 -e [哈希算法] ：將新值擴展 (添加) 到指定的 PCR (平臺配置寄存器) 并執行哈希計算。

圖10 PCR 寄存器擴展操作

⑤ sudo ./eltt2 -r [哈希算法] ：讀取指定 PCR 的值。

圖11 PCR 值讀取結果

⑥ sudo ./eltt2 -z ：將指定的 PCR 值返回到其初始狀態。

圖12 PCR 復位狀態驗證

03總結

本文我們主要以 Raspberry Pi 為例，使用英飛凌的 TPM 評估板和 ELTT2 對 TPM 2.0 進行了基本功能測試，展示如何通過硬件加密模塊強化物聯網設備抗攻擊能力，可總結為以下幾點：

隨著網絡連接設備數量的增加以及使用 AI 的攻擊的復雜性，安全措施的重要性日益增加

隨著歐盟《網絡安全韌性法案》等法規的持續推進，相關企業亟需建立合規應對機制

在網絡安全防護領域，僅依靠軟件方案是不夠的，基于硬件的安全防護措施同樣至關重要

TPM 具有很強的防篡改能力，并能對加密密鑰進行安全管理