Trusted Platform Module (TPM) は、システムに固有の暗号化済み構成情報が格納されるデバイスおよび実装を表します。情報は、システムのブート中にプロセスの測定に使用するメトリックとしての役割を果たします。TPM は、PKCS #11 ライブラリおよび pktool コマンドを使用してアクセスできるセキュアなハードウェアキーストアとしての役割を果たします。
Oracle Solaris では、次のコンポーネントに TPM が実装されています。
TPM デバイスドライバは TPM デバイスと通信します。
Trusted Computing Group (TCG) Software Stack (TSS) は、tcsd デーモンを使用した TPM デバイスとの通信チャネルとして機能します。
PKCS #11 ライブラリには、TPM を使用して鍵を生成し、機密操作を実行するハードウェアトークンまたはプロバイダが実装されています。プロバイダでは、TPM デバイス内部でのみ使用可能な鍵で暗号化することで、すべてのプライベートデータオブジェクトが保護されます。PKCS #11 ライブラリは、RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki) 標準に準拠しています。
ブートプロセスの検証で TPM 関連の側面を管理するために、tpmadm コマンドが使用されます。
詳細は、tpmadm(1M) のマニュアルページを参照してください。
プラットフォーム所有者は、特権操作を承認する際に使用される所有者のパスワードを設定することで、TPM を初期化する必要があります。プラットフォーム所有者は TPM 所有者とも呼ばれます。従来のスーパーユーザーと異なる点は、次の 2 つです。
TPM 機能にアクセスするために、プロセス特権は必要ありません。呼び出し元プロセスの特権レベルに関係なく、特権操作では所有者のパスワードを把握しておくことが必要です。
TPM 所有者は、TPM 鍵で保護されたデータのアクセス制御をオーバーライドできません。所有者は TPM を再初期化することで、データを効率的に破棄できます。ただし、所有者は、その他のユーザーが所有する TPM 鍵で暗号化されたデータにはアクセスできません。
このガイドで説明したその他の方法とともに Trusted Platform Module を使用すると、ユーザーまたはアプリケーションによる未承認アクセスからシステムがセキュリティー保護されます。