如何在 TPM 中加载和使用持久对称密钥？

Question

我只是想在 TPM 的 NV 存储中永久存储一个 32 字节长的对称密钥，并在重启后使用它（不将其从 TPM 中取出）来加密小型数据。

我尝试了两种不同的方式：

1)

• 使用 TPM 的随机字节生成器创建密钥
• 在 NV 中定义空间并将密钥写入其中
• 问题：我知道如何阅读它，但如何加载它以便在 TPM 中使用它？

2)

• 使用 TPM2_Create 命令创建 AES 密钥
• 使用 TPM2_EvictControl 命令使其持久化
• 通过相同的电源循环，我有了它的手柄，我可以加载它并使用它
• 问题：和之前类似，下次开机后如何加载使用？

我扫描了TCG's Specs，我什至阅读了这个free practical guide to TPM2.0，并没有找到任何关于我的问题的线索。

我错过了什么？

Answer 1

TPM2_EncryptDecrypt 旨在与对称密钥一起使用。将您使用TPM2_EvictControl 获得的密钥句柄作为@keyHandle 参数传递，并适当设置decrypt 参数。将mode 设置为TPM_ALG_NUL，以便使用默认模式。

请记住，使用 TPM 加密大量数据（对称密钥通常用于）是不切实际的。