TPM、TEE和SE之间的区别

信息安全 tpm 可信计算 球座
2021-08-12 09:39:10

安全元件(SE)、可信执行环境(TEE) 和可信平台模块(TPM)之间有什么区别?

我了解它们都指的是外部安全加密处理器,该处理器旨在存储加密密钥并安全地执行加密算法。是否有任何差异或它们都意味着相同的东西?

2个回答

首先让我们布局不同的定义:

  • TPM是专门为进行加密计算而创建的硬件。它与处理系统的其余部分在物理上隔离,并且通常是主板上的一个独立 IC。
  • TEE是芯片组上的一个区域,其工作方式类似于 TPM,但并未与芯片的其余部分物理隔离。
  • SE是一个防篡改的秘密存储,很像智能卡或 SIM 卡。它的主要目的是以一种难以或不可能非法使用的方式存储密码秘密。该技术的一个主要应用示例是支付卡上的 EMV 芯片。

比较定义时,我们可以清楚地看到这 3 个项目是不同的,但有一个共同的目标。TPM 和 TEE 之间的区别主要在于它的实现方式(纯硬件,或硬件和软件组合)。SE 具有不同的功能,可以作为 TPM 和/或 TEE 功能的一部分,因为它是存储密码秘密的安全场所。

关于功能方面的更多信息:

  • TPM 是由 ISO 和 TCG 标准确定的、明确指定的功能。您不能只是添加或更改它。通常它是通过 SPI 连接到主机 uC 的分立安全芯片。

  • TEE 是(如之前的海报所解释的)更大芯片/SoC 上的执行环境,但在此 TEE 内运行的代码取决于开发人员的自由。
    甚至还有在 TEE 中运行的 TPM 实现。

  • 安全元件 (SE) 通常(不分叉)是指通过串行接口连接到主机 uC 的分立安全芯片。在 SE 上,您通常会找到 JavaCard 实现,因此 SE 的功能取决于加载和执行的小程序。