在没有所有者密码的情况下清除 TPM

Posted 2023-02-19

【中文标题】在没有所有者密码的情况下清除 TPM

【英文标题】：Clearing TPM without owner password

【发布时间】：2018-09-10 13:35:15

【问题描述】：

我想在通过CryptoCape 启用 TPM 的情况下使用 BeagleBone Black。

我正在关注 this tutorial，因为它的合规模式，我可以清除 TPM。

当我运行tpm_clear -l debug 时，我收到提示输入所有者密码，我不知道。这样，我会收到 Authentication failed 消息，但我没有成功。

tpm_clear -l debug
Tspi_Context_Create success
Tspi_Context_Connect success
Tspi_Context_GetTpmObject success
Enter owner password: 
Tspi_GetPolicyObject success
Tspi_Policy_SetSecret success
Tspi_TPM_ClearOwner failed: 0x00000001 - layer=tpm, code=0001 (1), Authentication failed
Tspi_Context_FreeMemory success
Tspi_Context_Close success

有没有人知道如何在没有所有者密码的情况下执行此操作？

【参考方案1】：

不知道所有者密码将需要在主机平台上声明physical presence：

硬件方法实现的一个例子是一个按钮 平台前部连接到 TPM 上的引脚。按下 按钮会导致引脚改变极性，并会导致 TPM 设置其内部物理存在标志。使用此硬件 方法，需要指示物理存在的命令可以 随时执行（在预 OS 环境中或从 OS 环境）只要按下按钮。

提供电线以及按钮或开关到外部 由于成本、外形尺寸等原因，平台在某些情况下是不可行的， 使用或其他问题。因此，第二种断言方法 定义了称为“命令方法”的物理存在。为了 命令方法，固件提供了一个用户界面（UI）来解释 已请求的操作。实际在场的用户确认 或通过按键盘上的键拒绝操作。这 command 方法然后授权将 TPM 命令发送到 TPM。 在 TPM 中没有进一步检查物理存在。 TPM 如果用户通过 UI 确认，则执行 TPM 操作。

寻找板上的硬件按钮，希望它有。如果不是，CryptoCape 可能支持命令方法，但我不太熟悉，无法说明。