【已结束】eTPM：基于TEE/Enclave实现的TPM · Issue #I55YJG · anolis-education/SummerOfCode-2022 - Gitee.com

Gitee 2025 年度开源项目评选中

意向

需求

创建于

2022-05-06 09:08

最新项目成果：http://github.com/inclavare-containers/confidential-vtpm

# 项目名称

eTPM：基于TEE/Enclave实现的TPM

# 难度

高

# 项目描述

在TEE/Enclave中运行软件TPM，保证软件TPM访问的数据不会透出到TEE/Enclave之外，解决虚拟化场景中vTPM的后端安全问题。

eTPM重点描述的数据不透出问题，指的是现有的云上场景使用的vTPM方案：vTPM作为前端设备透出到租户自己的VM实例中。租户用vTPM设备产生的密钥会暴露在vTPM的后端即host侧。为此，eTPM希望把vTPM的后端整个运行在enclave里，这样后端eTPM服务再产生敏感数据时，就不会在内存中泄露给host侧，并且配合sealing技术，可以保证保存在host侧的也是加密且带有完整性保护的数据。

# 项目产出要求

## 最小要求

基于单机场景搭建eTPM PoC环境，提供技术原型源码以及完整的使用文档。

具体内容包括：
1）将[微软的TPM模拟器程序](https://github.com/Microsoft/ms-tpm-20-ref)运行在sgx enclave中，作为eTPM并提供服务。
2）eTPM服务可以支持TPM 2.0规范定义的全套TPM命令集。

1）的实现方案可以是基于sgx sdk的，或基于libos的，比如用[gramine](https://github.com/gramineproject/)或[occlum](https://github.com/occlum)。

## 最高要求

基于[Inclavare Containers](https://github.com/inclavare-containers)和云场景，实现eTPM资源池。

# 技术要求

- 熟练掌握C编程语言。
- 对TPM工作原理比较了解，有TPM相关的开发经验。
- 有一定的机密计算方面的开发经验。

# 导师姓名和联系方式

- 导师姓名：乾越
- 联系方式：钉钉号 aluhazard / 邮箱：zhang.jia@linux.alibaba.com

# 成果提交仓库

https://github.com/inclavare-containers/etpm

# 参考资料

- 机密计算基础知识
  - https://zhuanlan.zhihu.com/p/434718252
  - https://zhuanlan.zhihu.com/p/435752580
- TPM 2.0：http://product.dangdang.com/25176325.html
- SGX SDK入门教程：https://www.intel.cn/content/www/cn/zh/developer/articles/training/introducing-the-intel-software-guard-extensions-tutorial-series.html

最新项目成果：http://github.com/inclavare-containers/confidential-vtpm

# 项目名称

eTPM：基于TEE/Enclave实现的TPM

# 难度

高

# 项目描述

在TEE/Enclave中运行软件TPM，保证软件TPM访问的数据不会透出到TEE/Enclave之外，解决虚拟化场景中vTPM的后端安全问题。

eTPM重点描述的数据不透出问题，指的是现有的云上场景使用的vTPM方案：vTPM作为前端设备透出到租户自己的VM实例中。租户用vTPM设备产生的密钥会暴露在vTPM的后端即host侧。为此，eTPM希望把vTPM的后端整个运行在enclave里，这样后端eTPM服务再产生敏感数据时，就不会在内存中泄露给host侧，并且配合sealing技术，可以保证保存在host侧的也是加密且带有完整性保护的数据。

# 项目产出要求

## 最小要求

基于单机场景搭建eTPM PoC环境，提供技术原型源码以及完整的使用文档。

具体内容包括：
1）将[微软的TPM模拟器程序](https://github.com/Microsoft/ms-tpm-20-ref)运行在sgx enclave中，作为eTPM并提供服务。
2）eTPM服务可以支持TPM 2.0规范定义的全套TPM命令集。

1）的实现方案可以是基于sgx sdk的，或基于libos的，比如用[gramine](https://github.com/gramineproject/)或[occlum](https://github.com/occlum)。

## 最高要求

基于[Inclavare Containers](https://github.com/inclavare-containers)和云场景，实现eTPM资源池。

# 技术要求

- 熟练掌握C编程语言。
- 对TPM工作原理比较了解，有TPM相关的开发经验。
- 有一定的机密计算方面的开发经验。

# 导师姓名和联系方式

- 导师姓名：乾越
- 联系方式：钉钉号 aluhazard / 邮箱：zhang.jia@linux.alibaba.com

# 成果提交仓库

https://github.com/inclavare-containers/etpm

# 参考资料

- 机密计算基础知识
  - https://zhuanlan.zhihu.com/p/434718252
  - https://zhuanlan.zhihu.com/p/435752580
- TPM 2.0：http://product.dangdang.com/25176325.html
- SGX SDK入门教程：https://www.intel.cn/content/www/cn/zh/developer/articles/training/introducing-the-intel-software-guard-extensions-tutorial-series.html

登录后才可以发表评论

状态

负责人

项目

里程碑

Pull Requests

关联的 Pull Requests 被合并后可能会关闭此 issue

分支

开始日期 - 截止日期

-

置顶选项

优先级

预计工期（小时）

参与者（1）

1

https://gitee.com/anolis-education/summer-of-code-2022.git

git@gitee.com:anolis-education/summer-of-code-2022.git

anolis-education

summer-of-code-2022

SummerOfCode-2022