利用鑒證加強圍圈可信性

Intel? Enhanced Privacy ID (EPID) Security Technology

EPID的一些總結：

到2020年，預計將有500到1000億個已連接的物聯網設備，對于制造商和最終用戶而言，安全性和設備真實性都至關重要。

Attestation的挑戰是，我們其實需要的是Authentication ，基于對用戶的隱私保護，不因該需要 Identification。

需要的是 Direct Anonymous Attestation(DAA) 直接匿名證明，DAA就是基于群/組簽名（這個原理基于啥數學證明還不明白）。

Key 分Group key和member key.

什么是EPID（Enhanced Privacy Identification）？

增強的隱私標識（EPID）是Intel的ISO 20008實施，它解決了PKI安全方案中的兩個問題：匿名和成員資格撤銷。

對PKI的第一個改進是為用戶或設備提供“直接匿名證明”，該功能可針對給定的訪問級別對設備進行身份驗證，同時允許設備保持匿名狀態。這是通過引入組級別成員身份驗證方案的概念來實現的。 EPID允許將一組成員專用密鑰關聯在一起，并鏈接到一個公共組密鑰，而不是為單個用戶分配1：1的公共密鑰到私有密鑰。此公共EPID組公共密鑰可用于驗證組中任何EPID成員私有密鑰產生的簽名。最重要的是，包括發行人在內的任何人都無法知道用戶的身份。僅成員設備有權訪問私鑰，并且僅使用正確配置的EPID簽名進行驗證。

EPID提供的第二個安全性改進是能夠通過檢測損壞的簽名或密鑰來撤銷單個設備。如果設備使用的私鑰已被泄露或被盜，則允許EPID生態系統識別出該錯誤，可以撤消該設備并防止將來發生任何偽造。在安全性交換期間，EPID協議要求成員執行數學證明，以表明他們無法創建已在簽名吊銷列表上標記的任何簽名。內置的撤消功能允許立即將設備甚至整個設備組標記為撤消，并立即拒絕服務。它允許僅基于簽名撤銷匿名設備，這允許發行者在不知道禁止哪個設備的情況下從組中禁止設備。

案例：

匿名證明硬件設備是正品是一個典型案例。

另一個案例， 是針對數字流內容的數字版權管理。確保數據流傳輸到的設備（硬件播放器）是安全真實。英特爾?Insider™技術使用了EPID key，可以保護內容在設備上查看但不可以復制。

Intel? Insider™技術
http://blogs.intel.com/technology/2011/01/intel_insider_-_what_is_it_no/

證書請求分發過程

參考下圖。這是一個驗證IOT設備是正品不是假冒品的流程。 Vendor 向Intel 申請key。 Intel 會生成組key和成員key， 并將key發給vendor。Vendor會將成員key發給IOT 設備成員。Intel會刪除成員key，只存儲組key。

對于支持英特爾?EPID的產品，對于支持英特爾?EPID的產品，英特爾將512位數字直接融合到處理器的稱為管理引擎的子模塊中。英特爾?EPID私有成員密鑰使用英特爾?EPID組ID編碼，該ID唯一地將設備標識為組的一部分。

同時作為為發行者和驗證者，Intel為使用英特爾?EPID密鑰編碼的設備維護公共證書。私有成員密鑰需要與標準PKI私有密鑰相同級別的保護。只能使用由RSA安全證書（信任根為Intel）簽名的應用程序來訪問私鑰。其他芯片制造商可以遵循類似的過程，僅允許其公司的受信任應用程序訪問其產品上的私鑰。

供應（Provisioning）

設備部署到現場后，是無法立即使用英特爾?EPID，需要一個Provisioning的過程，啟動有個Provisioning過程來獲取訪問Internet的權限。之后，就可以通過有效的英特爾?EPID簽名來證明所有未來交易的真實性。

該過程，驗證者主動詢問成員，并發送EPID 公共Key. 成員會存儲EPID 的組key和私有成員key.

Revocation(吊銷)

EPID通過標識英特爾?EPID成員簽名或私有成員密鑰（如果能知道的話）來支持在成員資格級別進行吊銷。EPID也支持整個組級別的撤消。

驗證者或發行者都可以發起撤銷成員，但是只有發行者可以撤消英特爾?EPID成員或組。

如果撤銷的成員很多，其吊銷列表會隨著時間的推移而增長， 會導致性能線性下降。 這意味著隨著時間的推移驗證鏈中的每個人都將花費更長的時間。推薦的解決方案是創建一個新的組，然后將成員轉移到該新組中，最后撤銷舊組。

圖中：

PRIV-RL –已知私鑰

SIG-RL –平臺成員密鑰未恢復（not recovered），已知簽名

GROUP-RL –撤消整個組

成員設備和發行者之間的加入協議（Join
protocol）支持將有效的英特爾?EPID私鑰傳輸到設備的可能性。密鑰安全和受信任的傳輸機制，不在協議范圍內。

Quick Facts：

自2008年發布5系列芯片組以來，英特爾已發布了超過40億個英特爾?EPID密鑰

英特爾?EPID生態系統中的設備僅允許使用組ID進行匿名身份驗證

英特爾?EPID是英特爾直接匿名證明的實現

英特爾?EPID支持基于私鑰，英特爾?EPID簽名或整個組的吊銷設備

芯片提供商可以創建自己的英特爾?EPID生態系統

OEM / ODM可以使用符合Intel?EPID的芯片設備來提供快速而安全的配置

英特爾?產品包括一個嵌入式的真正隨機數生成器-為哈希算法提供更快，更安全的種子值。 （SDK需要在任何英特爾?EPID的實現中使用安全的隨機數生成器。）

總結

以上是生活随笔為你收集整理的Intel EPID的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。