У меня есть дополнительный вопрос к этому вопросу: Как зашифровать байты с помощью TPM (Trusted Platform Module)
Я использую Windows 10 для встроенного решения. Я хотел бы использовать TPM для хранения ключей подписи и выполнения подписей. Однако я не хочу мешать Windows использовать доверенный платформенный модуль для безопасной загрузки... поэтому я не решаюсь стать владельцем доверенного платформенного модуля. Я поиграл с примерами кода TSS.NET и получил TPM для подписи данных с пустым значением AuthValue (с реальным TPM, а не симулятором). Но я не уверен, какие здесь ограничения. Пример кода TSS.NET имеет комментарий:
При работе на реальном TPM, подготовленном Windows, это значение будет другим. Администратор может получить значение авторизации владельца из реестра.
Итак, мой вопрос состоит из двух частей:
- Правильно ли я понимаю, что изменение пароля владельца TPM не рекомендуется?
- Можно ли получить пароль в коде?
- Если у меня нет авторизации владельца при развертывании устройства, смогу ли я установить ключи подписи?
- Если во время выполнения нет авторизации владельца, смогу ли я использовать доверенный платформенный модуль для подписи?
