获取远程证明报告

本章主要介绍在机密虚拟机里如何获取远程证明报告。

1. 修改机密虚拟机配置文件，增加远程证明相关配置选项。

   <launchSecurity type='cca' hisi-cca-enable='yes'>
       <measurement-algo>sha256</measurement-algo>
       <personalization-value>lmrZvioYuJWTFN/ue5wAKSS70X4MPS+r3lBibrh1pixZyPAcduru93YOyXsFcnqH4+qM4kkjxwaPVYrm/Yj2fA==</personalization-value>
   </launchSecurity>

   

   • measurement-algo指定远程证明度量使用的哈希算法，当前支持“sha256”、“sha512”两种配置。
   • personalization-value指定机密虚拟机个性化值，要求长度为64字节流经base64编码后内容。
2. 机密虚拟机启动后，虚拟机内CCA驱动加载。

   modprobe tsm
   modprobe arm-cca-guest

3. configfs挂载。

   mount -t configfs none /sys/kernel/config

4. 获取远程证明报告。
   1. 创建远程证明实例目录。

      report=/sys/kernel/config/tsm/report/report0
      mkdir $report

   2. 输入随机生成的64字节远程证明挑战值。

      dd if=/dev/urandom bs=64 count=1 > $report/inblob

   3. 通过读outblob文件获取远程证明报告。

      hexdump -C $report/outblob

   4. 通过读auxblob文件获取设备证书。

      hexdump -C $report/auxblob

      图1 获取远程证明报告
      
      图2 获取设备证书