TW201137663A

TW201137663A - Secure storage of temporary secrets

Info

Publication number: TW201137663A
Application number: TW099132069A
Authority: TW
Inventors: Stefan Thom; Cristian Marius Ilac
Original assignee: Microsoft Corp
Priority date: 2009-10-13
Filing date: 2010-09-21
Publication date: 2011-11-01
Also published as: US20110087896A1; JP5643318B2; KR101699998B1; JP2013507715A; EP2488987A4; WO2011046731A3; EP2488987A2; EP2488987B1; CN102549594B; TWI497338B; CN102549594A; US8250379B2; KR20120087128A; WO2011046731A2

Description

201137663 六、發明說明：【發明所屬之技術領域】本發明是關於料秘密之保全儲存【先前技術】 —»· » _ 隨者計算裝置變得更加普及，更大量的敏感資訊是健存於此種計W置並由計算裝置利用。因此，這種計算裝置的使用者可投人大量的時間和精力以保全這些敏感資訊。在保全敏感資訊的機财，以密碼為基礎的機制已有普遍性。如熟習本技㈣域者料解，㈣碼為基礎㈣錢術可依賴加密技心執行其保護。更具體地說，以技術傳統上加密一组眘祖〇 > ' ’，且只有在提供適當的密碼時會提供對此資料的存取。如杲、.Λ 如果/又有如供適當的密碼，資料會維持、、’並因此受保護而免於未經授權的揭露。 β整^用加乂：碼為基礎之機制的普遍性和易用性的-種技術 ί料力V、因其係將健存在一給定容量的全部或大致上全部此’即使惡意實體想要取得對這些資料所儲存於之儲存媒體進行竇許左 ^ ，14種貝料量會因此維持受到保者將瞭解了料是以加密的形式儲存。如熟習本技術領域行有效和i 密技術傳統上依賴於一或多層的密錄來執打有效和N效率的浓你总在鑰S理。因此，舉例來說，「 :錢可以用來解密「較低」層的密錄，且到最後時:最底 B的錢可以用來解密儲存在儲存媒體的資料本身。作為保 201137663 護之衡量，一或多層密鑰的解密可連結至計算裝置本身態，致使（舉例來說）如果儲存媒體要從計算裴 /、且'砂降並通訊耦合至不同的計算裝置，資料將無法被解密，存媒體通訊耦合至之計算裝置的狀態會已改變。在计算裝置作業時，即使是已配置用於保全作業的叶曾裝一置二也可克―存在需要#方便查取的i式來儲名屢感資铒: 情況。例如，在進行可重大影響計算裝置之狀態的計算裝置更新時，用於整量加密機制的一或多個密鑰（例如其解密是傳統上連結至計算裝置的狀態的密鑰）可能需要以易於存2 的形式來儲存。後續對此易於存取資訊的移除應減輕與以易於存取形式來儲存此種資訊相關的潛在安全問題。但是’現代的儲存媒體通常使用的方法和技術實際上並沒有銷毀在儲存媒體上的資料，即使這些方法和技術標記了、卫特疋資料疋被刪除的。例如，現代磁性儲存媒體時常包括這種儲存功能，因此標記為刪除的資料實際上可能在很長的時間内並未被重寫（因此並未不可恢復地銷毀^在這段時間，透過已知的資料恢復機制仍然可以存取這些資料。以類似方式，利用固態儲存技術的現代儲存媒體通常實施平均耗損（wear-leveling )技術。由於使用此技術，現代固態儲存媒體可能在資料應被無法再擷取地移除之後很長一段時間才貫際上重寫標記為刪除的資料。正如磁性儲存媒體，固態儲存媒體並未妥善刪除此等敏感資訊，此舉可以導致安全狀態大幅減低。 201137663 【發明内容】現有的可信賴的平台模組（Trusted platf〇rm Module, TPM )可包括小部分的安全儲存功能。此τρΜ儲存可用來儲存部分或所有之要被無法再擷取地移除的敏感資訊。不同於其他現代儲存媒體，TPM的設計規範中具體要求到，當被指 -不一自—T_P_M—儲—存—t移—除—資擷方式進行。在一實施例中，透過產生與整量加密機制相關的一或多個社、鑰的保護器，並將開啟此保護器的密鑰儲存在TpM的安王儲存中，可使整量加密機制暫停（例如在特定的更新作業期間）。所產生的保護器可包含元資料，其可於τρΜ的安全儲存中識別出開啟保護器的密鑰所儲存的位置。之後，例如在完成更新作業之後，即可以刪除儲存在TPM的保護器和密鑰。由於密鑰將被無法再擷取地移除，即使所產生的保護器本身並非被無法再擷取地移除，整量加密可維持保全，例如當它是儲存在其儲存機制不提供對請求被刪除的資料進行即時之資料無法擷取移除的儲存媒體上時。在另一實施例中，一密鑰所保護的資訊（如加密資訊）可儲存在不提供或保證安全且無法擷取移除的儲存裝置上。保護此資訊的密鑰可以儲存在TPM的安全儲存中。如果文保護的資訊將被無法再擷取地移除’即使其所儲存於之儲存裝置不能保證其安全性和無法再擷取性，密鑰可以安全地且無法再擷取地從TPM移除，且受保護的資訊可因此變成無 201137663 法存取。類似地，如果受保護的資訊被儲存裝置以別名 (aliased )、複製或以其他方式保存，仍然可以憑藉單獨保留在TPM中的密鑰來完成對此資訊的控制（包括其無法再擁取地移除特性。在又一實施例中’如果儲存媒體被實體地移除，並因此置通訊斷開，儲在查塵體上的資料可以保持安全並變成不可存取。為了提供適當的計算裝置強大的資料存取，整量加密機制可以用來加密儲存在此種儲存媒體上的資料，且與整量加密機制相關的一或多個密鑰可以儲存在TPM的密鑰來保護，但存取不需要只限制於該密鑰，例如可將對密鑰的存取連結至計算裝置的特定配置。但疋’如果儲存媒體是被實體偷走，並因此與計算裝置通訊斷開’此種密鑰無法擷取自計算裝置的TPM，因此，健存在儲存媒體上的資料將維持加密而因此無法存取。在進一步的實施例中，當計算裝置在休眠狀態時，建立於计算裝置上之計算環境的態樣能夠得到保護。當計算裝置在休眠時，所產生的休眠圖像可獨立於此計算裝置可能利用之任何其他的加密機制而被加密。對此加密休眠圖像進行解捃的鑰可以儲存在TPM中，且當它休眠時，可將它自TpM 釋出到後續請求程序的過程連結至計算裝置的特定配置。之後，當計算裝置的運作從休眠狀態恢復時，只有在計算裝置休眠期間計算裝置的配置並沒有重大改變的情況下，可解密和存取加密休眠圖像。此外，當計算裝置從休眠狀態恢復時，對加密休眠圖像進行解密的密鑰可以自τρΜ刪除，藉此 201137663 防止多次嘗試存取和恢復配置上有重大改變之計算裝置上的加密休眠圖像。本「發明内容」係提供以簡化的形式來介紹將於以下「實施方式」中進一步描述的一些概念。本「發明内容」並非欲以識別申請專利標的之重要特徵或必要特徵。本「發明内容」欲申請專利標的之範圍。 " -—_____ 參照隨附圖式及以下「實施方式」將使額外的特徵和優點變得更為明顯。【實施方式】下面的說明是關於利用現有的可信賴的平台模組（TPM) 來儲存或保留敏感資訊，其包括利用TPM的功能來安全 * Λ»\ 法再擷取地刪除儲存在ΤΡΜ中的資訊，並利用ΤΡΜ的功能來將敏感資訊的釋出連結到與ΤΡΜ相關之計算裝置的特定配置。在適合暫停整量加密機制的情況下，與整量加密機制相關的一或多個密鑰可被加密於保護器中，而開啟此保護器的相關密鑰可以儲存在ΤΡΜ中。之後，當整量加密機制可以重新啟動時’保護器的密鑰可由ΤΡΜ安全並和無法再次擷取地刪除。類似地’當儲存裝置^能保證安全且無法再次操取地刪除時’或是這種儲存媒體變成與計算裝置通訊斷開時，儲存在ΤΡΜ的資訊可造成儲存於與該儲存裝置相關之储存媒體上的資料無法存取。此外，當休眠圖像被加密且密錄是儲存在ΤΡΜ’且其釋出是連結至計算裝置的—特^狀態時 201137663 (例如可以TPM的一或多個平台配置暫存器的數值來表示）’計算裝置正處於休眠狀態，在計算裝置上有效的程序可維持受保護。在休眠後恢復有效計算時，如果在休眠期間時計算裝置的狀態並沒有重大改變，在TPM中的密鑰可用來解密休眠圖像。 I之技術著眼於（但不限;^整量加貫上，下面的教示也同樣適用於任何其後續的刪除動作是以無法再次擷取的方式進行的安全資訊，或任何其存取將由特定計算裝置的通訊連接所限制之安全資訊◎因此，下面的說明並非欲以將列舉實施例限制於引用之特定範例情況。雖然並非為必要條件，下面的描述將在電腦可執行指令 (例如計算裝置所執行的程式模組）的—般情況下。更具體地說’除非特別註明，下述說明將引用由一或更多的計算裝置或：邊所執行的動作和作業的象徵性代表。因此，應瞭解到k種動作和作業（有時被稱為電腦執行之動作和作 ==號的處理單元的操縱過程，其中電子信號是 -己憶體；的代表資枓。這種操縱過程會轉換資料或維持它在配… ，其以熟習本技術領域者將瞭解的方式重新結構是具有資料= 邊裝置。資料所維持的資料 X 疋義之特定屬性的實體位置。料二來:其他程^^ 的結構類型。、此ΓΓ定任務或可實現特定抽象資料類型必習本技術領域者將瞭解，計算穿置不必局限於傳統的個人 ⑤T异裝置不腦其可包括其他計算配置，包括手 201137663 持裝置、多處理器系統、微處理器或可程式的消費電子產品、網路個人電腦、迷你電腦、大型電腦等等。類似地，計算裝置不必只限於獨立的計算裝置，這些機制也可能執行於透過通訊網路鏈結的分散式計算環境。在分散式計算環境中，程式模組可位於本地和遠端記憶儲存裝置。括於下述方法中將進一步描述之硬體元件。範例計算裝置刚可包括作不限於-或多個中央處理單元（cpu) 12〇、系統記憶體no、可信賴的平台模組（TPM) 15〇和系統匯流排m。系統匯流排121耦合包括系統記憶體的各種系統組件至處理單元 12〇°系統匯流排121可以是包括記憶體匯流排或記憶體控制器、週邊匯流排和使用任何種類匯流排架構的本地匯流排之數種匯流排結構中的任何—者。根據具體的實體實現，㈣ 12〇、系統記憶體13〇和τρΜ 15()中的—或多者可實體上位於同位置’例如在單一晶片上。在這種情況下，系統匯流排121 # 刀或全部可以只是單—梦晶片結構内的石夕途徑 (sihcon pathway )’且目i中所繪示只是作為說明用途之標記0 TPM15G可以包含加密密錄151，用於對提供給它的資料進仃加密和解密。傳統上’ TPM 150包括-組初始的不可更改的A用和私用&、輪’其可以已知和現有的方式來使用以取付可棄式公用和私用加密密鑰。此外，TpM【5〇可包含平台配置暫存器（PCR) 155 ’其可以安全地儲存資料或與計算裝置100的狀態獨特相關的其他f料。這些數值傳統上是由 10 201137663 CPU 12〇透過系統匯流排121提供給τρΜ 15〇。在一些實施例中，只有由CPU 120執行的特定代碼會被允許可傳送資料到TPM 150,其將修改儲存在PCR 155中的數值β TPM 15〇可進-步包括非揮發性的儲存容量，如非揮發性隨機存取記憶體（NV RAM) 156 ’ TPM可以由諸如CPU 12〇之計算裝复义其他το件透121將提供給它的1少一部分資訊安全地儲存於其中。除了上述的元件外，計算裝置1〇〇還通常包括電腦可讀取媒體，其可包括可由計算裝置1〇〇進行存取的任何可用媒體。僅為舉例而非限制，電腦可讀取媒體可能包括電腦儲存媒體及通訊媒體。電腦儲存媒體包括以任何方法或技術實現之媒體’用於儲存諸如電腦可讀取指令、資料結構' 程式模組或其他資料的資訊。電腦儲存媒體包括但不限於RAM、 ROM、EEPROM、快閃記憶體或其他記憶體技術、cd_r〇m、 DVD或其他光射料、斜帶、磁帶、磁料存或其他磁性儲存裝置I任何其他可用來儲存所欲資訊並可由計算裝置 100存取的媒體。通訊媒體通常實施電腦可讀取指令、資料 Ί >程式模組、或其他以諸如載波或其他傳輸機制之調變資料信號形式的資料，且通訊媒體包括任何資訊傳遞媒體。僅為舉例而非限制’通訊媒體可包括諸如有線網路或直接有線連接的有線媒體，q 1/ . 5#如聲曰（acoustic )、無線電頻率 (RF)、紅外線、及其他無線媒體等的無線媒體。上述之任何組合也應包括在電腦可讀取媒體的範圍内。當使用通訊媒體時，電腦裝置1〇〇可在網路環境中運作， 201137663 其係透過邏輯連接到一或多個遠端電腦。圖丨所示的邏輯連接是至網路180的一般網路連接171，網路18〇可以是區域凋路（LAN )、廣域網路（WAN)或其他網路。計算裝置透過網路介面或適配器170而連接到一般網路連接i7i，網路介面或適配器170是連接到系統匯流排121。在網路環境可儲存在一或多個其他計算裝置的記憶體中，這些其他= 裝置疋透過一般網路連接171而通訊耦合到計算裝置^⑻。應瞭解到’所繪示之網路連接僅為範例，也可使㈣他方式建立汁算裝置之間的通訊鏈路。，在電腦儲存媒體中，系統記憶體130包括電腦儲存媒體，形式為揮發性及/或非揮發性記憶體，其包括r〇M⑶和 Ram 132。基本輸人/輸出系統133(聰）通常儲存在&⑽ 131中’基本輸入/輸出***133包含啟動計算裝置_的碼。 RAM U2通常包含可由處理單元m立即存取及/或正由處理單元m運作的資料及/或程式模組。僅為舉例而非限制，圖1緣不作業系統134、其他程式模組135和程式資料136

為常駐於RAM 132中。R m L Ύ RAM 132也可以包括與TPM 150的運作相關的資料，例如, 寸例如TCG事件紀錄19〇。在一實施例中， TCG事件紀錄190可以包含唯一的識別符，用於識別自施以電能或自上次重新啟動後所有計算裝置1〇〇所載入模組。所載入或執行的相同模組可能已導致 155中的TPM15。目前所維持的數值。計算裝置⑽可另外包括其他可移轉可移除、揮發性/ 12 201137663 非揮發性電腦儲存媒體，僅為舉例，圖丨繪示硬碟驅動器 1 4卜其可讀自或寫入非可移除、非揮發性磁性或固態媒體。 ^他可用於範例4算裝置的可移除/非可移除、揮發性/非揮發性電腦儲存媒體包括但不限於磁卡帶、快閃記憶卡、 DVD、數位視頻帶（叫㈣vide〇响)、固態罐、固態里 1 土〇_ϋ可移除記憶體介面而連接到系統匯流排121。 ~~ 面所》才哪並繪不於圖i之驅動器及其相關電腦儲存媒體為計算裝置100提供電腦可讀取指令、資料結構、程式模組和其他資料之儲存。在圖1，例如，硬碟驅動器141係繪不為儲存作業系統144、其他程式模組145和程式資料146。請注意到這些組件可以與作業系統134、其他程式模組⑴ t程式資料136相同或不同。此處的作業系統⑷、其他程式模組1 45和裎式杳4立1 Μ 士程式資枓146有不同的標號以說明它們至少是不同的副本。在一貫施例中’可以加密的形式將作業系、純144、其他程二莫、！ 145、和程式資料146儲存在硬碟驅動器⑷上。例 :碟驅動器141可實現或用於整量加密機制，藉 =貫質上全部储存在硬碟驅動器141上的資料資料可以加密形式來儲存。參昭圄 141 a ^ ,，，、圖2,在範例系統200中，硬碟驅動写 141疋繪示為包括加密邻八甘-r、1 式模組⑷、和程二括作業系統144、程由計算裝ι⑽461的至少大部分。密錄220可 2，、硬碟驅動器141相關的硬體利用，以對已加狯部分240解密資料，乂對也負料藉此使计算裝置MO有意義地存 13 201137663 取作業系統144、程式模組145和程式資料i46。 !’、S本技術7貞域者將瞭解，整量加密機制可以利用多級及多層密鑰，例如密餘跡例如，為了避免重新加密，使用不同的密餘時，對於諸如作業系統144、程式模組145、 j貝# 146之資料，密錄22()本身可以被另—密錄加可被稱為「密錄保護器」。如熟習本技術領域者將瞭解一，可以產生多個密餘保護器用於單一密瑜，而每個密錄保護器係與不同的認證或其他安全機制相關。因此，舉例來說，密錄 220 (其可解密餘存在硬碟驅動3 141的加❹内的 -料）可使用與使用者密碼相關的密鑰被加密於一密鑰保護且可使用與PCR 155的特定數值相關的密输被加密於另一密錄保護器。在此方式中，當授權的使用者輸人密碼時，或者田PCR 1 55的數值表示計算裝置是在信任狀態時加密部分240可由計算裝置1〇〇進行解密和存取。如上所不，多層級的密鑰可用來提供多種存取選擇。此卜多層級的费鑰可以用於其他的密鑰管理用途，其包括例如提间可#性、提供安全保證、提高性能、提供用於第三方協助或支援可能忘記密錄的使用者、或其他用途。因此，在下面的描述中，提到與諸如密鑰220之密鑰相關的整量加密機制是意指任何層級的密鑰’而非僅為直接對例如加密部分 240進行解密的特定密鑰。在某些情況下，對於通常由整量加密機制給予的保護，可忐有需要暫時中止。例如，在可能影響計算裝置1 〇〇的信 14 201137663 任狀態的更新程序期間’整量加密可能需要暫停，因為可能有困難或無法預先決定適當的數值用於pcR 155，而缺乏此決定時，可能無法存取必要用以能夠存取错存在加密部分 240之資料並且與pcR的特定數值相關的密鑰。為了避免這㈣難，在預期到計算狀態有變化時，透過例如產生可以包 __#立鑰_別的域财一久解蜜唉―蜜鱗22〇的加蜜版本所需之密錄的「透明密錄」保護器（elearkeyim)tee㈣2ig，整量加密或其他的安全機制可以暫時中止。可以看出，此「透明密鑰」保護器210可讓任何可存取「透明密鑰」保護器的程序來存取受保護的密鑰本身，如密鑰22〇,其可提供此程序存取所有在加密部分24G中的資料。因此，硬碟驅動器⑷ 上透明被錄」保護器21〇的存在可有效地暫停或去能實現於此驅動器上之整量加密的安全態樣。要重新致能諸如實現於圖2中系統細的硬碟驅動器141上之整量加密機制的安全態樣，可自硬碟驅動器刪除「透明歸」保護器21〇，以使其不能被擁取。為了達到無法再擷取已刪除之敏感資訊，例如可以規避整量加密機制的安全態樣的「透明密鑰」保護器，可將特定資訊儲存在ΤΡΜΗ0的非揮發性隨機存取記憶體（nvram) 23〇中。因此’在一實施例中，如圖2的系統所示，作業系統U4或其他程序可以建立可儲存在硬碟驅動器⑷上的透明密鑰保護器210，然而與透明密錄保護器21〇相關的密輪23〇可儲存在TPM 15〇的NVRam 156中，而非如上所述之與透明密絲以―起料，以是料在的 15 201137663 NV RAM 156。作業系統134因此繪示為提供資料給兩個不同的儲存媒體。特別是’作業系統1 34可將透明密鑰保護器 210儲存在硬碟驅動器141上，並可將與透明密鑰保護器210 相關的密输230儲存在TPM 150的NV RAM 156中。圖2中系統200的透明密錄保護器21〇可包含密錄230

的非ϋ—23—〇本身)丄主资儲存在TPM的NV RAM 一 —-· -- * — — —------ 15 6中。更具體地說’在一實施例中，透明密鑰保護器2 1 0

可包括非揮發性索引，其係密餘23〇在TPM丨5〇的nv RAM 156中所儲存之處。如熟習本技術領域者將瞭解，之後的透月岔錄保”蒦器2 1 〇的存取將顯現與其一起儲存的非揮發性索引，藉此致能存取程序向τρΜ15()請求密鑰23〇。作為回應， TPM 150可以提供密鑰23〇給請求程序，而具有密鑰23〇的請求程序可自透明密鑰保護器210取得密鑰22〇並存取加密部分240中的資訊。如圖2所示之系統2〇〇，一旦計算裝置1〇〇已經更新，以 ^更新之計算裝置2()1形式，作業系統134或其他相關程序可以將產生以規避例如實施於硬碟驅動器141上之整量加密的安全態樣的資訊刪除。因此，如圖所示，刪除透明密鑰保護器210的指令可提供給硬碟驅動器141，刪除密鑰2儿的指令可提供給TPM15G。如上所述，透明密㈣護器21〇未必會自硬碟驅動器〗41的儲存媒體被法再次擷取地刪除。例如，如果硬碟驅動器141包含磁性儲存媒體，則透明密鑰保護器210可維持於此磁性儲存媒體上，直到它實際上被提供用於儲存在硬碟驅動器141上的其他資料所重寫。雖然傳統 16 201137663 磁I·生儲存媒體的储存裝置可以實現可隨機重寫標記為刪除之資料的女全刪除功能，磁性健存媒體的特性是即使它已被重寫過數次，要恢復先前儲存的資料是可能的。類似地，如碟驅動器141疋包含固態儲存媒體，則透明密錄保護器細仍可維持此固態健存媒體，即使是在它已被標記為刪除 τ 地說’』級射㈣㈣择— 相技術結合’平均耗損技術可避免對某些區段進行較多的寫二動作°因此’儲存於區段中的資料（即使是已被刪除的資料）可維持於可存取狀態相t長的一段時間。曰在圖2的系統200 0，透明密鑰保護器25〇和密鑰2。是用來說明在已刪除但可回復狀態的透明密鑰保護器210和受保護密繪220。但是，從圖2中可以看出，自㈣的财編 W無法再錢取地刪除密餘咖可以重新建立實施於㈣驅動器141上之整量加密的安全態樣。更具體地說，如果密鑰咖是與透明密錄保護器⑽—起儲存的，那麼即使㈣除後，透明密鑰保護器250仍可自硬碟驅動器i4i的儲存媒體回復’並且可取得_ 26()並利用它存取儲存在硬碑驅動二141的加密部分240内的資訊。然而，因為密錄230是健存在Tm15〇’當TPM150被指示刪除健存在其NVR如56 4 _ TPM15°可符合女全刪除的規範，自硬碟驅動器⑷的儲存媒體回復透明密錄保護器25〇不會產生密餘 26〇,因為需要用以存取保護器25〇並獲取密錄_的_ 23。將不再可用或不再可擁取。因此，即使在沒有安全或益法再次擷取地刪除透明密鑰保護器21〇的情況下，儲存在加 17 201137663 密部分240的資訊仍可受到保護。雖然上面的描述和圖2所提供的說明指示保護密鑰22〇的保護器，而密输22G是直接負責解密加密部分24()，如熟習本技術領域者將瞭解’上述描述和說明也同樣適用於傳統上由安全機制（如整1加密機制）產生並與安全機制一起使』迦保護密鑰220不需要能夠直接解密加密部分24G，其可為可解密另一密錄的中間層級密鑰，而另一密鑰可以解密加密部分24〇。此外，雖然上面的描述和圖2所提供的說明是具體針對於安全刪除與整量加密機制相關聯的未受保護或「透明密錄保護器」，例如可於計算裝置（如電腦裝置丨〇㈧之狀態改變期間暫時使用，上述原則同樣適用練何儲存在儲存媒體之又保4資料的安全刪除’該儲存媒體係與不能保證安全删除的儲存裝置相關聯。更具體地說，如果資訊是以受保護的方式儲存’使得一些其他資料（即傳統上和這裡所稱之「密鑰」) 可以用來存取此資訊，則為了提供安全和無法再次擷取地刪除此資訊’受保護的資訊可儲存在任㈣存媒體，且密錄可乂儲存在TPM的NV RAM 156上，如上所詳細描述。即使是儲存媒體和與此儲存媒體相關聯的儲存裝置也不能提供或保證安全地和無法再次摘取地刪除受保護的資訊，安全地和 ’’’、法再人操取地刪除TPM 15()可提供的密錄可實際上如上所詳述地k成無法再次揭取受保護的資訊，不論受保護的資訊所儲存於之儲存媒體或裝置的功能為何。在許夕It況下，儲存媒體和與此媒體相關聯的儲存裝置 201137663 無法保證無法再次擷取地刪除，這是由於當受保護資訊儲存在儲存媒體時，可別名化、拷貝、複製或乘以受保護資訊的硬體機制’使得受保護資訊的副本或態樣的安全移除可能無法保證所有此類副本或態樣的安全移除。在這種情況下，受保護的資訊可能增殖為儲存硬體本身的一部分，將單一密鑰保留於TPM的NV RAM 156中可μ炎_供_對受保護的資訊的單一性及控制的衡量。此外’雖然不是必需的，如果受保護的資訊需要被無法再擷取地移除，可透過自ΤΡΜ的NV RAM 1 50安全地和無法再擷取地移除密鑰來實現，如上所述之細節。在另一貫施例中，將諸如密錄230之密錄儲存TPM的NV RAM 156可以用來提供一種保護衡量，其可防止諸如硬碟驅動器141之儲存裝置的實體盜竊，或者可防止自合理移除（例如由於維β蔓原因）之儲存裝置的資訊盜竊。參照圖3，系統 300包含計算裝置1〇〇,其具可與計算裝置實體和通訊分開的硬碟驅動器141。如前所述，保護密鑰22〇的密鑰保護器 210可以建立並儲存在硬碟驅動器141上。如前所述，密鑰 220可直接或間接用來解密並提供對硬碟驅動器Μ〗的加密部分240的存取。透過將密鑰23〇儲存在τρΜ的nvram 中，並以密鑰保護器提供至密鑰230的指標，當尋求存取儲存在硬碟驅動器141的加密部分24〇中的資訊時，計算裝置 1〇〇和執行於其上之程序可按照該指標從密錄保護器2ι〇至密錄230於⑽的NV RAM 156中所儲存之位置，並能自 TPM 150獲得-㈣並最終制它存取硬碟驅動㈣加密部 201137663 分0 此外，在一實施例中，存取密鑰230或（更具體地說）存取密瑜230於TPM的NV RAM 156中所儲存之特定索引是可由TPM 150自由授予的’而無須限制於Pcr丨55的特定數值或其他與計算裝置1〇〇的狀態相關的類似資訊。因此，執行於計算裝置100上的程序可以自由地存取儲存在硬碟驅動器141的加密部分24〇内的資訊，而不用考慮對於計算裝置或它正在執行的程序的整體安全性而言可能是不重要的計算裝置狀態的態樣。這種環境對傳統上具有硬體安全性的伺服器計算裝置可能特別有用，硬體安全性的例子有有限存取的實體環境’其可最小化以不安全的方式改變飼服器計算裝置100的狀態的機會’但其應尋求維持盡可能多的正常作業然而，如果這種計算裝置或者

裝置的組件受刭达玆 L ^ , …〜征aT

又到ώ竊，上面述及之必要資訊於TPM _156中的儲存可以防止㈣硬碟驅動^ 240的資訊被利用或其他類似的被 q 外，如果硬碟驅動哭板k储存媒體破利用。 -旦硬碟驅動器心 &障’而必須更換要硬碟驅動器時體上和通訊上何其他類似儲存媒體與計算裝置100」的資訊可成為二存:存=碟驅動器141的加密… 置⑽通訊上分開，儲二貫上，一旦硬碟驅動器與計算』的資訊無法存取的驅動11 141的加密部分24 碟藤動器或儲存於其標準’而不需要對, 、之貝訊進仃耗錢和費時的刪除或身 20 201137663 他毀壞。可以從圖3的系統300看出，如果硬碟驅動器141與計算裝置1〇〇通訊上分開，例如如果硬碟驅動器ΐ4ι自伺服器计算裝置100實體上刪除，無論是因為授權維持的一部分或風竊，而在之後通訊耦合到不同的計算裝置執行於此不同计算裝置上的程序將無法存取儲存在計算裝置1〇〇的τρΜ 150的NV RAM 156中的密錄。如果沒有存取密錄23〇，執行於硬碟驅動器141之後通訊耦合至之不同的計算裝置上的程序將無法自保護器210獲得密錄22〇，而因此不能夠有意義地存取儲存在硬碟驅動器141的加密部分24〇内的資訊: 由於儲存在NVRAM 156内的資訊不能透過執行於位於電腦裝置1〇〇外部之計算裝置上的程序而輕易地自TPM。。取得 (無論是透過電子通訊機制或透過τρΜ 15〇本身的實體存取）’將諸如密錄230的必要資訊儲存在而的财尺細中可以提供儲存在儲存媒體之#料的安全衡量，而不會嚴重影響計算裝置100的正常運作時間’其中儲存媒體可與計算裝置1〇〇通訊斷開，而安全衡量包括防止盜竊的安全性和防止' 後續存取取代為授權維護之—部分的儲存㈣的安全性。雖然沒有具體列舉於上，如熟習本技術領域者將睁解， TPM15G可以將料在其中之資訊（例如儲存在取的㈣讀156上）限制於釋出至計算裝置1〇〇的特定狀態（例如傳統上以-或多個PCR 155的數值表此，在另施例，當計算裝置100可能在脆弱的狀態時間時（例算裝置在休眠或中止狀態時），TpM m的把關功能可:用 21 201137663 來保護資訊。參照圖4，系統4〇〇繪示一範例機制，當計算裝置ι〇〇是在休眠狀態時，休眠圖像41〇可透過此機制而受到保護。最初’在啟動計算裝i⑽的休眠狀態時，可建立休眠圖像 41〇。如熟習本技術領域者將瞭解，並如圖4中之虛線所繪不丄諸如休眠圖像41G之休眠圖像可包括與計算裝置在休眠之前的狀態相關的資訊。例如，休眠圖像410可以包括作業系統134的狀態、程式模組i 3 5和程式資料【3 6，它們在休眠時間時存在於計算裝置1〇〇的RAM 132中，使得當從休眠狀態恢復執行時，計算裝£ 1〇〇可以從休眠圖像41〇載入資訊到RAM 13 2，並因此使得作業系統和程式模組恢復他們先前的動作或執行。由次於休眠圖像41〇可包括與在執行階段的程序和應用相奇的-貝訊匕可以包含僅在某些與安全有關的動作可能已經完成時可得到的資訊。例如’作業系統m的某些態樣或程式模組U5可能只有在判定計算裝置1〇〇是在值得信賴的狀態之後才可載入到ram i 3 2中。然而’作業系統…的那些 t、樣或程式模組13 5現在可以在沒有任何進一步的保護下常駐在RAM 132。如果這些資料是收集和儲存作為休眠圖像 410的邛刀，之後存取休眠圖像時（例如當計算裝置丄〇〇處於休眠狀_時）’可提供存取這些資訊，而沒有通常存在之旨在保護這些資訊免於未經授權存取的安全限制。因此，在—實施例，為了保持休眠圖像410的完整和計算裝置100的狀態，休眠圖像可以被加密並儲存為加密休眠 22 201137663 圖像415 ’如圖4的系 '统400所示。儘管圖4的系統400是將休眠圖像4H)的加密繪示為由作業系統134所執行，熟習本技術領域者將瞭解’這種加密也同樣可由其他程序所執行丄包括例如作為程式模組135之—部分執行之程序。除了雄休眠圖像410並將其儲存為經加密的休眠圖像415於健存裝置（例如硬碟141)，作業系統134或其他相關程序可以進步儲存密鑰43 0於TPM的NV RAM 156中，密鑰430 可以解開加密的休關像415或可提供存取休眠圖像41〇。在一實施例中’密鑰430可以結合給TPM丨5〇的指令而儲存在TPM的NVRAM 156中，該指令指*而不釋出或提供密鑰430,除非PCR155的一或多個數值在請求密鑰43〇時與計算裝置100休眠時是相同的。更具體而言，如前所述，一或多個PCR 155的數值可以獨特地相關於計算裝置1〇〇的狀態。因此，在計算裝置1〇〇休眠時，一或多個pCR 155的數值可反映計算裝置1〇〇在休眠時的狀態，及當計算裝置自休眠狀態恢復聘計算裝置應該有的狀態。因此可參照一或多個PCR 155的數值以確保計算裝置1〇〇的狀態自其休眠時起至其之後恢復時並沒有被重大改變’因此，密錄（其如前面所述可提供存取休眠圖像410) 430的釋出可在計算裝置休眠時連接到一或多個PCR 1 5 5的數值。

之後，當計算裝置1 00從休眠狀態恢復時，如熟習本技術領域者將瞭解，啟動載入器434 (其可為作業系統134的組成元件）可以嘗試存取休眠圖像4丨〇並載入到RAM 13 2 中。但是，在能夠這樣做之前’啟動載入器434可先自TPM 23 201137663 的财11颜156獲得密_43〇。在上述方式中，經加密的休眠圖像4 i 5可以包括指定（reference )至例如TPM的财 RAM 156中㈣430的位置的非揮發性索引。這種指定可用於例如當啟動載入器434試圖從TPM15()^取密錄430時。然而，由於由TPM150進行之密餘43〇的釋出可能已連結至PCRB5的一或多個數值’ TPM可在計算裝置從休眠狀態恢復時’先比較PCR155的數值，密餘43()是被請求為者密餘430儲存在TPM的NV則i %日寺所指定的pcR數值田。如果計算裝置1GG的狀態的-或多個重要態樣從計算裝置休眠時起已發生變化，那麼密鑰430之釋出所連結之一或多個 PCR155的數值不會等於㈣43〇被储存在tpm&nvram 156時的數值，而且麗150將不提供密鑰。因此，舉例來說，當計算裝置是在休眠狀態時，如果惡意或未知或不可信的電腦可執行指令或其他程序被暗中插A(或準備執行於）計算裝置1〇〇,那麼這種電腦可執行指令或程序的執行或啟動將記錄在TCG事件紀錄49G巾，並會反映p(：R 155的數

值中。更具體地說，這種指令或程序的暗中***將導致pcR 的數值不同於當密鑰430在休眠之前儲存在1^1^的 RAM丨56時密鑰430之釋出所連結之數值’並且將導致τρΜ 150拒絕將密鑰430提供給一請求程序’例如啟動載入器 434 » 因此，經加密的圖像415休眠將無法被解密，且計算裝置1〇〇在有新的暗中***之指令或程序的情況下將無法眠狀態恢復運作。如熟習本技術領域者將瞭解，計算裝置1 〇〇 24 201137663 可完全重新啟動’藉此移除或完全杜絕任何暗中插人的指令或程序所造成的效果，並因此保護計算裝置⑽更具體地說，確保可能已被例如作業系統134或程式模組135載入和利用的敏感資訊不受到影響。上面描述的機制的操作可透過圖5和圖6進一步詳細說明。參照圖5，流程圖500爷明益，止 … 說明範例步驟，其可被執行以提供女全且不可恢復之敏感資訊卞歌感貧訊可能需要暫時儲存在儲存媒體中（例如在更新 4裎序期間）。流程圖500所示的步驟也有至少部分是適用於 _ 貝汛之儲存，該儲存方式是將此資訊不可分開地連結至計算异哀置右此儲存媒體與計算裝置通訊斷開時，可利用此資訊來來保5蔓其他儲存在儲存媒體上的資訊。最初，在步驟5 1 〇，可朋私加，_ ^ 了開始例如可影響計算裝置的啟動程序或可重大改變計算奘罟& .笛 t异裝置的運作狀態的計算裝置之更新或其他改變。之後，在步驟515， Ύ產生透明密鑰保護器用於例如與整罝加密機制相關的密餘。在步驟515產生之可存取透明密餘保護器的「透明來輪叮+土肺。八★ 還月讀」可在步驟520健存在ΤΡΜ的 NV RAM中。至儲存在τρΜ 〜以V RAM中之密鑰的指標，舉例來說，與密鑰在TPM的 4 v RAM中所儲存之位置相關的非揮發性索引可在步驟525與 ^ A /、逐月在鑰保護器一起儲存或 /、除密鑰保護器相關聯。I # _ 在步驟530’可執行與更新性能相 …T 重大影響計算裝置之狀態啟動計算裝置。 q刀’可以再啟動或重新 25 201137663 之後’在步驟535,在步驟515產生之透明密鍮保護器可被存取以為解密或存取受保護資訊的部分努力受保護例如是受《為整量加密機制之_部分的資訊。在㈣= 存取透明密絲護器後，諸如非揮發性索弓丨之指標可在5 540取得並利用以獲取可解密或存取透明㈣保護器所之密錄。如果在步驟540成功取得了密錄，則可存取在步驟奶取得之透明密錄保護器，且在步驟545可使用得到鑰來解鎖該容量。如前所述，在步驟53〇所執行之更新或其他更改可能已經影響已連結密餘相關於計算裝置狀態的現有機制，該機制可例如為整量加密機制。因此’在步驟545將整量加密服務所保護之容量解鎖之後，在步驟別可選擇性地產生一或多個新的可存取加密容量的密鑰保護器。此外，在步驟川產生的透明密㈣護器可自其於步驟555所儲存於之儲存媒體中刪除’在步驟560可指示TPM將透明密餘自τρΜ的卿 RAM刪除。正如上面所詳述，即使應該已經在在步驟…被刪除的透明密錄保護器實際上沒有被無法㈣取地移除，在步驟560 ’指不TPM將密錄從τρΜ的nv r施刪除的指令 °按’’’、ΤΡΜ所符合的規範而致使密矯被安全和無法再次擁取地刪除。如熟f本技術領域者將瞭解，在㈣奶刪除透明密餘保護器以及在步驟56〇指示τρΜ將密錄從⑽的财 RAM刪除的指令並非一定要以圖5的流程圓500績示的順序生而疋可以在步驟545解鎖容量的期間或之後任何時間發生°之後’纟步驟565可結束相關的程序。 26 201137663 如上所詳述，不必執行圖5的流程圖5〇〇繪示的全部步驟，例如為了將資訊保全於儲存媒體上而防止盜竊或其^通訊斷開之目的，將重要的資訊儲存在τρΜ的中。例如，在步驟530,計算系統的更新或其他更改、在步驟55°〇新的保護器的相應產生、之後在步驟555將透明密鑰保護器自儲存媒體中的刪除、以及在步驟56〇將密鑰自τρΜ的卿 Ram中的刪除可以僅用於特定的實施例，而在僅為了將資訊保全於儲存媒體上以防止盜竊或是防止儲存媒體與計算裝置發生通訊斷開時’可不需執行。參照圖6’流程圖600說明可在休眠或中止狀態期間保護計算裝置之範例步驟。起初，從流程圖㈣可以看出在步驟610，使用者或其他程序可以啟動計算裝置之休眠或中止。之後，在步驟615，按照傳統的休眠機制，可產生包括例如計算裝置RAM中相關資訊的休眠圖像。在步驟62〇,休眠圖像可以被加密以在計算裝置休眠或中止狀態時保護它免於被存取或修改。在步驟625，與加密休眠圖像相關並可用來對經加密休眠圖像進行解密的密錄可儲存在㈣的Μ RAM 中。如上所述在步驟625提供密输給TPM的NV RAM時，可乂 ‘示TPM不釋出②、錄給請求程序，除非了⑽的pcR的 -或多個數值在進行㈣請求時是相同的，因為在步驟⑵ 當計算裝置休眠時它們是相同的。在步驟62〇，一旦休眠圖像已被加达、並在步驟625已將密錄儲存在的NV RAM 中’計算裝置可在步驟63G ^成休眠動作並進人休眠狀態。 27 201137663 在之後的某時間點（也包含於步驟63〇中置恢復有效運作。此了“示計算裝此時在计算裝置上執行的相啟動載入器或休眼其押堪程序（例如乂怀眠官理器）可以設法從τρ 的〜中的密鑰，並利用密錄解密和存::== 加密的休眠圖像，以將計算裝置恢復到其在休眠於之執行情境。引所執订

因此？步驟635’ ΤΡΜ可以檢查一或多個pcR 數值與指定用於密餘之羅屮& 茗鑰之釋出的數值。如果在步驟635,相關的PCR數值相闾趴拉〜— 和關值相Π於“用於密鑰之釋出的數至步驟_，並且由丁 PM提供之密錄丁缺仫社+、<七 φ项』琨仃至晴求的程序。 645利用密瑜來解鎖在步驟615和二；之加密休眠圖像’並重新建立有效的計算狀態。相關的程序可結束於步驟66〇。但是’如果在步驟6 3 5，相關的p c r數值相同於指定用 '釋出的數值’程序可續行至步驟650,此時TPM可以拒絕提供歸給請求程序n 仕k種滑況下，加进的休眠圖像無法被解密，計算妒 T异褒置將無法恢復有效處理，並可以在步驟655執行完整的重新啟 „ ^ 里祈啟動或自行關機並在之後-時間點執行啟動程序。因此，如傲獻如果计异裝置的狀態有重大改變’舉例來說，當計算裝f& 疋在休眠狀態時，如果惡意的或其他未知的電腦可執行指 4具他更改已經被暗t地插或在有效處理恢復時被設定而⑽，遞可以拒絕提供密鑰（例如在步驟650)，在步驟6 ^ ^ ^ 摊655之完整重新啟動或再啟動程序的執行可將在計算裝置為休眠狀態時暗中對計算裝 28 201137663 置進行的任何更改刪除或無效。相關的處理可結束於步驟可以從上面的描述看到’上述說明已呈現利用TPM的错存功能來安全儲存和無法再擷取地移除敏感資訊的機制。鑑於本文所述標的之許多可能變化，我們主張所有這些可能落入下附申請專利範圍及其均等物的實施例為本發明之範圍。【圖式簡單說明】參照隨附圖式將更為瞭解「實施方式」中之說明，於圖式中：圖1是包含TPM的範例計算裝置的方塊圖；圖2是TPM的範例使用的方塊圖，此範例使用τρΜ來儲

圖3疋ΤΡΜ的範例使用的方塊圖，此範例使用來防止透過儲存媒體之實體竊盜而散佈資料；，此範例使用ΤΡΜ來進，此範例使用ΤΡΜ來進圖4是ΤΡΜ的範例使用的方塊圖行休眠期間的計算裝置保護；卜此範例使用ΤΡΜ來儲一預定義時間的敏感資圖5是τρμ的範例使用的流程圖存敏感資訊且之後安全刪除已儲存訊；及圖6疋τρμ的範例使用的流程圖行休眠期間的計算裝置保護。 29 201137663 【主要元件符號說明】 100計算裝置 151 TPM特定密鑰 120中央處理單元 155平台配置暫存器 121系統匯流排 170網路介面 130系統記憶體 171 —般網路連接 134作業系統 190 TCG事件紀錄 135程式模組 200範例系統 136程式資料 210透明密鑰保護器 140非可移除非揮發性記憶體介面 220密鑰 141硬碟驅動器 250透明密鑰保護器 144作業系統 260密鑰 145程式模組 300系統 146程式資料 415加密休眠圖像 150可信賴的平台模組 500-660步驟流程

Claims

201137663 七、申請專利範圍：一 1.1電腦可讀取媒體，具有電腦可執行指令用於利用一可信賴的平台模組（Trusted Platform M〇duie，τρΜ 存媒體，該儲存媒體是在該ΤΡΜ内部，該等電腦可執行指八執行之步驟包括·· 加密一第一組資料；儲存加密之該第一組資料資料於一儲存媒體上；儲存—密鑰於該ΤΡΜ的儲在拔辨l _ J傩仔媒體上，該密鑰可利用於將加社、之該第一組資料解密； —以該儲存媒體上加密之該第_組資料，儲存一索引於該达鑰所儲存於之該TPM的儲存媒體内；在儲存該密鑰於該TPM的儲在拔舻夕始人_ J诨存媒體之後，向該TPM請在、輪，該請求指示於該密餘所# t 4 蝙所儲存於之該ΤΡΜ的儲存媒體内的該索引； :用該密瑜’將加密之該第—植資料解密，該密錄係回愿於該請求而自該ΤΡΜ所得；及指示該ΤΡΜ將該密論自兮τ _ 辩目这ΤρΜ的儲存媒體刪除； _ . 在蹲剛除，致使無法自該TPM的儲存媒體擷取該密鑰，藉此從，θ 曰此&成無法自加密之該第一組資料獍仵該第一組資料，即使加左讲μ 在之該第一組資料係擷取自該儲仔媒體。 2.如請求項1之電腦可福说 °貝取媒體，其中該第一組資料包 31 201137663 括一密鑰’其係與應用於該儲存媒體之一整量（wh〇l volume)加密相關。〇 e 3. 如請求項2之電腦可讀取媒體，其中用於儲存該密鑰於該TPM的儲存媒體上之電腦可執行指令包括不論平台配置暫存器（Platform Configuration Register，PCR)之任—者數值為何回應於請求該密錄而用於指示該tpm提供該 TPM的儲存媒體之該密鑰的電腦可執行指令。 4. 如請求項2之電腦可讀取媒體，其中在儲存該密鑰於該TPM的儲存媒體之後向該τρΜ請求該密鑰亦發生下者：在一计算裝置之一狀態有一改變之後，該加密該第一組資料在預期該計算裝置之該狀態有該改變時已被執行。 5 ·如吻求項1之電腦可讀取媒體，其中該第一組資料包括一休眠圖像。 6’如吻求項5之電腦可讀取媒體’更包含執行下列步驟之電腦可執行指令：只有在該ΤΡΜ的一或多個PCR包括預期數值時’回應於請求該密鑰，指示該ΤΡΜ提供來自該ΤΡΜ 的儲存媒體之該密鑰。 7.如請求項6之電腦可讀取媒體，其中當該休眠圖像產生時’該—或多個pCR的預期數值是與該等PCR的數值相 32 201137663 等。 8, 一種利用一可信賴的平台模組（Trusted piatf〇rm Module, TPM)的儲存媒體的方法，該儲存媒體是是在該τρΜ 内部，該方法包括以下步驟：加密一第一組資料；儲存加密之該第一組資料資料於一儲存媒體上；儲存-密輸於該ΤΡΜ的儲存媒體上，該密錄可利用於將加密之該第一組資料解密；以該儲存媒體上加密之該第一組資料，儲存一索引於該密鑰所儲存於之該ΤΡΜ的儲存媒體内；在儲存該密鑰於該ΤΡΜ的儲存媒體之後，向該τρΜ請求該密鑰，該請求指示於該密鑰所儲存於之該τρΜ的儲存媒體内的該索引；利用該密鑰’將加密之該第一組資料解密，該密鑰係回應於該睛求而自該ΤΡΜ所得；及指示該ΤΡΜ將該密餘自該ΤΡΜ的儲存媒體刪除；其中指示該ΤΡΜ將該密鑰刪除致使無法自該τρΜ的儲 :媒體擷取該密鑰，藉此造成無法自加密之該第一組資料獲得該第-組資料’即使加密之該第一組資料係擷取自該儲存 9.如唄求項8之方法’其中該第一組資料包括一密鑰，其係與應用於該儲存媒體之一整量（趣V—加密相 33 201137663 如請求項9之方法，其中儲存該密鑰於該TPM的儲存媒體上之步驟包括以下步驟：回應於請求該密鑰，不論平台配置暫存器 (Platform Configuration Register，PCR)之任一者之數值為何，指示該τρΜ提供該τρΜ的儲存媒體之該密鑰。 U·如叫求項9之方法，其中在儲存該密鑰於該TPM的儲存媒體之後向該ΤρΜ請求該密鑰之步驟亦發生以下步驟：在。十算裝置之一狀態有一改變之後，該加密該第一組資料之步驟在預期該計算裝置之該狀態有該改變時已被執

:只有在該TPM &預期數值時，回應於請求該密鑰，指示 TpM的儲存媒體之該密鑰。 14.如請求項13 之方法，或多個PCR的預期數值 $ ’其中當該休眠圖像產生時，該是與該等PCR的數值相等。 34 201137663 _ .種保護以資料形式儲存在一可移除儲存裝置上之資㈣方法’其係透過當該可移除儲存裝置與—授權計算裝置〉：斷開時’自動阻止存取該資訊，該授權計算裝置包括〇賴的平口換組（Trusied Piatf〇rm Module, 丁PM)，談可信賴的平台模組包括内部儲存媒體，該方法包括以下步：: 加役儲存在該可移除儲存裝置上的資料；儲存-第-密錄於該τρΜ的内部儲存媒體上，該第一密瑜可利用於將加密之資料解密；及 Ρ〇κΓΓΓ-；^ΓΓ(platform confi8uration 而回應於來自對該授權計算裝置而5為本地之—程序對該第一密鑰之一請供該TPM的内部儲存媒體之該第一密鑰。…TpM提如月求項15之方法，更包含以下步驟於將加密之資料_的所有_ =可利用儲存裝置上且保存為㈣貝科㈣存在該可移除為對該可移除儲存裝置而言為外部資訊。 Η.如請求項15之方法，更包含以下步驟：儲存-第二密餘於該可移除儲存裝置上利用於將加密之資料解密且由該第—密输所保第二密錄可以被保護之該第二密鑰，儲存一索引’及存於之該TPM的内部儲存媒體内。 ' w第—密鑰所儲 35