Root of Trust

转：https://blog.csdn.net/weixin_49369227/article/details/120646358

何为Root of Trust信任根？

信任根 (RoT) 是在密码系统中始终可以信任的来源。由于密码安全依赖于对数据进行加密和解密并执行生成数字签名和验证签名等功能的密钥，因此 RoT 方案通常包括一个硬化的硬件模块。一个主要示例是硬件安全模块 (HSM)，它在其安全环境中生成和保护密钥并执行加密功能。

由于该模块的所有意图和目的都无法在计算机生态系统之外访问，因此该生态系统可以信任它从信任根模块接收到的密钥和其他加密信息是真实的和经过授权的。随着物联网 (IoT) 的激增，这一点尤为重要，因为为了避免被黑客入侵，计算生态系统的组件需要一种方法来确定它们接收到的信息是真实的。RoT 保护数据和应用程序的安全，并有助于在整个生态系统中建立信任。

RoT 是公钥基础设施 (PKI) 的关键组件，用于生成和保护根和证书颁发机构密钥；代码签名以确保软件保持安全、不变和真实；并创建数字证书，用于对物联网应用程序和其他网络部署的专有电子设备进行凭证和身份验证。

上面提到的硬件安全模块 (HSM) 就是RoT的硬件实现方案之一，当然也可以基于software、TEE、eSIM等方案。

  

HSM是加固的、防篡改的硬件设备，通过生成密钥、加密和解密数据以及创建和验证数字签名来加强加密场景。某些硬件安全模块 (HSM) 需通过各种 FIPS 140-2 级别的认证。硬件安全模块 (HSM) 经常用于：

达到并超越既定和新兴的网络安全监管标准
实现更高级别的数据安全和信任
保持高服务水平和业务敏捷性

何为Chain of Trust信任链？

信任链Chain of Trust是PKI（私钥基础设施）的基础，

 

 

 

信任链指的是SSL 证书以及它如何链接回受信任的CA（证书颁发机构）。为了让 SSL 证书受到信任，它必须可以追溯到它签署的信任根，这意味着链中的所有证书——服务器、中间证书和根证书，都需要得到适当的信任。信任链分为三个部分：

根证书– 根证书是属于颁发证书颁发机构的数字证书。它在大多数浏览器中预先下载并存储在所谓的“信任库”中。根证书受到证书颁发机构的严密保护。

中级证书- 中级证书从根证书分支出来，就像从树上分支出来一样。它们充当受保护的根证书和向公众发布的服务器证书之间的中间人。链中总是至少有一个中间证书，但也可以不止一个。

服务器证书– 服务器证书是颁发给用户需要覆盖的特定域的证书。