TPM イベント・ログ

Trusted Platform Module (TPM) プラットフォーム構成レジスター (PCR) Extend 操作が実行されると、TPM イベント・ログ・ファイルにイベント・ログ項目が記録されます。 このログ・ファイルは、リモート構成証明に依存する外部エンティティーによって使用されます。また、マルチノードの同期中にホスト・ファームウェアによって使用されます。 これらのログ・ファイルは、PCR 値を再構成し、既知の値に対して検証するために使用されます。 イベント・ログ・ファイルは、TPM によって保持されません。したがって、ファームウェアがログ・ファイル用の保管領域を提供し、PCR Extend の実行時にログ・ファイルを更新したり、構成証明のためにログ・ファイルにアクセスしたりするためのインターフェースを提供する必要があります。

初期の PCR Extend 操作は、ホスト・ブート (HB) コードによって実行されるため、Power Hypervisor (PHYP) が開始されると、初期プログラム・ロード (IPL) の実行時の Extend 操作に関連するイベント・ログ情報は、HB コードに保存されます。 また、HB コードは、関連するイベント・ログ項目を、ホスト・データ領域 (HDAT) 構造を介して PHYP に通知します。

PHYP は、TPM イベント・ログ情報を物理 TPM (pTPM) アジャンクト状態で保持します。各 TPM ログ・ファイル用に最大 64 MB のストレージ域が割り振られます。 並行ファームウェア更新について作成されたログ項目 (無限のログ項目とも呼ばれる) に優先権が付与されます。 ローレンジおよびミッドレンジのプラットフォームでは、ノードごとに 1 つの pTPM があります。 マルチノード・エンタープライズ・プラットフォームでは、ノードごとに 1 つの追加 (冗長) pTPM があります。

TPM ログ・バッファーがフルの場合、TPM に対する追加の PCR Extend 操作が許可されます。 ログ・ファイルの切り捨てが記録され、構成証明インターフェースは、配信されたログ・ファイルが切り捨てられたことを示すフラグを受け取ります。

初期プログラム・ロード (IPL) の実行時に、該当するイベント・ログ情報を持つ PCR Extend 操作が作成されます。 並行ファームウェア更新に関する PCR Extend 操作も作成されます。 ログ・ファイルには、コード測定の結果、構成、およびプラットフォームの履歴が含まれます。

最初の (コールド) IPL の実行時の現在の見積もりは、単一ノード・システムではノードごとに 50 個のイベント・レコード、4 ノード・システムではノードごとに 200 個のイベント・レコード (イベント・レコード当たり 128 B 換算で、IPL ごとにノード当たり 25 KB) です。

TPM イベント・ログ情報は、リソース・ダンプによって取得することができます。イベント・ログ・ファイルは、物理プラットフォームに関連付けられているため、論理区画と一緒には移行されません。 したがって、物理 TPM (pTPM) の TPM 履歴は、論理区画の TPM 履歴と同じではない場合があります。

最初の (コールド) IPL および後続の (ウォーム) IPL の実行時にノード TPM を必要としない TPM 構成設定では、イベント・ログ・ファイルは不要です。 ただし、「TPM 必須 (TPM Required)」オプションが設定されている場合は、PCR Extend 操作および関連するイベント・ログ・ファイルを保持する必要があります。