近二十年來，可信計算組的可信平臺模塊 （TPM） 規(guī)范一直為計算和服務器應用程序的信任提供基礎(chǔ)。最新版本 TPM 2.0（也稱為 ISO/IEC 11889）允許離散、集成、固件、軟件甚至虛擬實現(xiàn)，以擴展其在移動和嵌入式應用中的使用。TPM 用于測量將執(zhí)行的代碼（稱為測量的啟動），還可以使用密碼、證書、數(shù)字簽名和/或加密密鑰對平臺進行身份驗證和保護。通常，使用 TPM 2.0 保護平臺的過程從平臺系統(tǒng) BIOS 及其對任何基礎(chǔ)固件的支持開始。

作為 BIOS 的替代或增強，UEFI 論壇開發(fā)的統(tǒng)一可擴展固件接口 （UEFI） 規(guī)范為計算機操作系統(tǒng) （OS） 和平臺固件之間的接口定義了一個新模型。UEFI 固件通過初始化平臺并加載操作系統(tǒng)來執(zhí)行 BIOS 的等效性，結(jié)合 TPM 2.0、UEFI 固件支持更安全的系統(tǒng)、更快的啟動時間和改進的性能，UEFI 安全啟動有助于在操作系統(tǒng)加載之前抵御惡意軟件攻擊。UEFI 固件的處理器體系結(jié)構(gòu)不可知的方法支持 x86、x64 和 Arm 設(shè)計。

隨著美國大趨勢（AMI）宣布支持在運行公司Aptio V UEFI固件的基于Arm的系統(tǒng)上進行TPM，UEFI的ARM實施得到了及時的推動。通過擴展其以前對 x86 平臺的 TPM 支持，AMI 為系統(tǒng)設(shè)計人員提供了在基于 Arm 的系統(tǒng)中輕松使用 UEFI 固件的替代方案，并能夠更好地保護其系統(tǒng)及其中存儲的信息。

為基于 Arm 的系統(tǒng)添加的 TPM 支持包括特定于 Arm 的功能，例如 Arm 信任區(qū)技術(shù)中的 TPM 驅(qū)動程序支持和 Linux 操作系統(tǒng)支持。BIOS 和操作系統(tǒng)可以使用安全監(jiān)視器調(diào)用 （SMC） 通過命令響應緩沖區(qū)接口訪問 Arm 信任區(qū) TPM。手臂信任區(qū)中的 TPM SMC 通信庫由 AMI 開發(fā)。TPM 支持的其他通用功能包括加密算法和安全引導變量的度量。

信任鏈通過 TPM 進行維護。TPM 在 Arm 啟動階段 1 初始化，這將啟動信任鏈。在每個階段之間，執(zhí)行下一階段的測量。當 AptioV 引導加載程序被授予控制權(quán)時，AMI TCG2 模塊將測量操作系統(tǒng)引導加載程序。

使用 UEFI 作為輔助引導加載程序，無需嵌入式系統(tǒng)設(shè)計人員學習每個硅平臺或微控制器的不同安全方案。支持 TPM 的基于 UEFI 的固件解決方案（例如來自 AMI 的 Aptio V UEFI BIOS 固件的 TCG2 模塊）有助于建立一種基于標準的通用方法，以便在下一代 Arm 和其他平臺中實現(xiàn)安全和可測量的啟動。

審核編輯：郭婷