Add TpmInitializationDonePpi to TPM PEI module.
[mirror_edk2.git] / SecurityPkg / SecurityPkg.dec
1 ## @file  SecurityPkg.dec\r
2 #  Provides security features that conform to TCG/UEFI industry standards\r
3 #\r
4 #  The security features include secure boot, measured boot and user identification.\r
5 #  It also provides the definitions(including PPIs/PROTOCOLs/GUIDs and library classes)\r
6 #  and libraries instances, which are used for those features.\r
7 #\r
8 # Copyright (c) 2009 - 2015, Intel Corporation. All rights reserved.<BR>\r
9 # This program and the accompanying materials are licensed and made available under\r
10 # the terms and conditions of the BSD License which accompanies this distribution.\r
11 # The full text of the license may be found at\r
12 # http://opensource.org/licenses/bsd-license.php\r
13 #\r
14 # THE PROGRAM IS DISTRIBUTED UNDER THE BSD LICENSE ON AN "AS IS" BASIS,\r
15 # WITHOUT WARRANTIES OR REPRESENTATIONS OF ANY KIND, EITHER EXPRESS OR IMPLIED.\r
16 #\r
17 ##\r
18 \r
19 [Defines]\r
20   DEC_SPECIFICATION              = 0x00010005\r
21   PACKAGE_NAME                   = SecurityPkg\r
22   PACKAGE_UNI_FILE               = SecurityPkg.uni\r
23   PACKAGE_GUID                   = 24369CAC-6AA6-4fb8-88DB-90BF061668AD\r
24   PACKAGE_VERSION                = 0.94\r
25 \r
26 [Includes]\r
27   Include\r
28 \r
29 [LibraryClasses]\r
30   ##  @libraryclass  Provides hash interfaces from different implementations.\r
31   # \r
32   HashLib|Include/Library/HashLib.h\r
33   \r
34   ##  @libraryclass  Provides a platform specific interface to detect physically present user.\r
35   #\r
36   PlatformSecureLib|Include/Library/PlatformSecureLib.h\r
37   \r
38   ##  @libraryclass  Provides interfaces to handle TPM 1.2 request.\r
39   #\r
40   TcgPhysicalPresenceLib|Include/Library/TcgPhysicalPresenceLib.h\r
41   \r
42   ##  @libraryclass  Provides support for TCG PP >= 128 Vendor Specific PPI Operation.\r
43   #\r
44   TcgPpVendorLib|Include/Library/TcgPpVendorLib.h\r
45   \r
46   ##  @libraryclass  Provides interfaces for other modules to send TPM 2.0 command.\r
47   #\r
48   Tpm2CommandLib|Include/Library/Tpm2CommandLib.h\r
49   \r
50   ##  @libraryclass  Provides interfaces on how to access TPM 2.0 hardware device.\r
51   #\r
52   Tpm2DeviceLib|Include/Library/Tpm2DeviceLib.h\r
53   \r
54   ##  @libraryclass  Provides interfaces for other modules to send TPM 1.2 command.\r
55   #\r
56   Tpm12CommandLib|Include/Library/Tpm12CommandLib.h\r
57   \r
58   ##  @libraryclass  Provides interfaces on how to access TPM 1.2 hardware device.\r
59   #\r
60   Tpm12DeviceLib|Include/Library/Tpm12DeviceLib.h\r
61   \r
62   ##  @libraryclass  Provides TPM Interface Specification (TIS) interfaces for TPM command.\r
63   #\r
64   TpmCommLib|Include/Library/TpmCommLib.h\r
65     \r
66   ##  @libraryclass  Provides common interfaces about TPM measurement for other modules.\r
67   #\r
68   TpmMeasurementLib|Include/Library/TpmMeasurementLib.h\r
69   \r
70   ##  @libraryclass  Provides interfaces to handle TPM 2.0 request.\r
71   #\r
72   TrEEPhysicalPresenceLib|Include/Library/TrEEPhysicalPresenceLib.h\r
73   \r
74   ##  @libraryclass  Provides support for TrEE PP >= 128 Vendor Specific PPI Operation.\r
75   #\r
76   TrEEPpVendorLib|Include/Library/TrEEPpVendorLib.h\r
77 \r
78 [Guids]\r
79   ## Security package token space guid.\r
80   # Include/Guid/SecurityPkgTokenSpace.h\r
81   gEfiSecurityPkgTokenSpaceGuid      = { 0xd3fb176, 0x9569, 0x4d51, { 0xa3, 0xef, 0x7d, 0x61, 0xc6, 0x4f, 0xea, 0xba }}\r
82 \r
83   ## Guid acted as the authenticated variable store header's signature, and to specify the variable list entries put in the EFI system table.\r
84   #  Include/Guid/AuthenticatedVariableFormat.h\r
85   gEfiAuthenticatedVariableGuid      = { 0xaaf32c78, 0x947b, 0x439a, { 0xa1, 0x80, 0x2e, 0x14, 0x4e, 0xc3, 0x77, 0x92 } }\r
86 \r
87   ## GUID used to "SecureBootEnable" variable for the Secure Boot feature enable/disable.\r
88   #  This variable is used for allowing a physically present user to disable Secure Boot via firmware setup without the possession of PKpriv.\r
89   #  Include/Guid/AuthenticatedVariableFormat.h\r
90   gEfiSecureBootEnableDisableGuid    = { 0xf0a30bc7, 0xaf08, 0x4556, { 0x99, 0xc4, 0x0, 0x10, 0x9, 0xc9, 0x3a, 0x44 } }\r
91 \r
92   ## GUID used to "CustomMode" variable for two Secure Boot modes feature: "Custom" and "Standard".\r
93   #  Standard Secure Boot mode is the default mode as UEFI Spec's description.\r
94   #  Custom Secure Boot mode allows for more flexibility as specified in the following:\r
95   #  Can enroll or delete PK without existing PK's private key.\r
96   #  Can enroll or delete KEK without existing PK's private key.\r
97   #  Can enroll or delete signature from DB/DBX without KEK's private key.\r
98   #  Include/Guid/AuthenticatedVariableFormat.h\r
99   gEfiCustomModeEnableGuid           = { 0xc076ec0c, 0x7028, 0x4399, { 0xa0, 0x72, 0x71, 0xee, 0x5c, 0x44, 0x8b, 0x9f } }\r
100 \r
101   ## GUID used to "VendorKeysNv" variable to record the out of band secure boot keys modification.\r
102   #  This variable is a read-only NV variable that indicates whether someone other than the platform vendor has used a \r
103   #  mechanism not defined by the UEFI Specification to transition the system to setup mode or to update secure boot keys.\r
104   #  Include/Guid/AuthenticatedVariableFormat.h\r
105   gEfiVendorKeysNvGuid               = { 0x9073e4e0, 0x60ec, 0x4b6e, { 0x99, 0x3, 0x4c, 0x22, 0x3c, 0x26, 0xf, 0x3c } }\r
106 \r
107   ## GUID used to "certdb" variable to store the signer's certificates for common variables with EFI_VARIABLE_TIME_BASED_AUTHENTICATED_WRITE_ACCESS attribute.\r
108   #  Include/Guid/AuthenticatedVariableFormat.h\r
109   gEfiCertDbGuid                     = { 0xd9bee56e, 0x75dc, 0x49d9, { 0xb4, 0xd7, 0xb5, 0x34, 0x21, 0xf, 0x63, 0x7a } }\r
110   \r
111   ## Hob GUID used to pass a TCG_PCR_EVENT from a TPM PEIM to a TPM DXE Driver.\r
112   #  Include/Guid/TcgEventHob.h\r
113   gTcgEventEntryHobGuid              = { 0x2b9ffb52, 0x1b13, 0x416f, { 0xa8, 0x7b, 0xbc, 0x93, 0xd, 0xef, 0x92, 0xa8 }}\r
114 \r
115   ## HOB GUID used to record TPM device error.\r
116   #  Include/Guid/TcgEventHob.h\r
117   gTpmErrorHobGuid                   = { 0xef598499, 0xb25e, 0x473a, { 0xbf, 0xaf, 0xe7, 0xe5, 0x7d, 0xce, 0x82, 0xc4 }}\r
118 \r
119   ## HOB GUID used to pass all PEI measured FV info to DXE Driver.\r
120   #  Include/Guid/MeasuredFvHob.h\r
121   gMeasuredFvHobGuid                 = { 0xb2360b42, 0x7173, 0x420a, { 0x86, 0x96, 0x46, 0xca, 0x6b, 0xab, 0x10, 0x60 }}\r
122 \r
123   ## GUID used to "PhysicalPresence" variable and "PhysicalPresenceFlags" variable for TPM request and response.\r
124   #  Include/Guid/PhysicalPresenceData.h\r
125   gEfiPhysicalPresenceGuid           = { 0xf6499b1, 0xe9ad, 0x493d, { 0xb9, 0xc2, 0x2f, 0x90, 0x81, 0x5c, 0x6c, 0xbc }}\r
126   \r
127   ## GUID used for form browser, password credential and provider identifier.\r
128   # Include/Guid/PwdCredentialProviderHii.h\r
129   gPwdCredentialProviderGuid         = { 0x78b9ec8b, 0xc000, 0x46c5, { 0xac, 0x93, 0x24, 0xa0, 0xc1, 0xbb, 0x0, 0xce }}\r
130 \r
131   ## GUID used for form browser, USB credential and provider identifier.\r
132   #  Include/Guid/UsbCredentialProviderHii.h\r
133   gUsbCredentialProviderGuid         = { 0xd0849ed1, 0xa88c, 0x4ba6, { 0xb1, 0xd6, 0xab, 0x50, 0xe2, 0x80, 0xb7, 0xa9 }}\r
134 \r
135   ## GUID used for FormSet guid and user profile variable.\r
136   # Include/Guid/UserIdentifyManagerHii.h\r
137   gUserIdentifyManagerGuid           = { 0x3ccd3dd8, 0x8d45, 0x4fed, { 0x96, 0x2d, 0x2b, 0x38, 0xcd, 0x82, 0xb3, 0xc4 }}\r
138 \r
139   ## GUID used for FormSet.\r
140   #  Include/Guid/UserProfileManagerHii.h\r
141   gUserProfileManagerGuid            = { 0xc35f272c, 0x97c2, 0x465a, { 0xa2, 0x16, 0x69, 0x6b, 0x66, 0x8a, 0x8c, 0xfe }}\r
142 \r
143   ## GUID used for FormSet.\r
144   #  Include/Guid/TcgConfigHii.h\r
145   gTcgConfigFormSetGuid              = { 0xb0f901e4, 0xc424, 0x45de, { 0x90, 0x81, 0x95, 0xe2, 0xb, 0xde, 0x6f, 0xb5 }}\r
146   \r
147   ## GUID used for FormSet.\r
148   #  Include/Guid/SecureBootConfigHii.h\r
149   gSecureBootConfigFormSetGuid       = { 0x5daf50a5, 0xea81, 0x4de2, {0x8f, 0x9b, 0xca, 0xbd, 0xa9, 0xcf, 0x5c, 0x14}}\r
150 \r
151   ## GUID used to "TrEEPhysicalPresence" variable and "TrEEPhysicalPresenceFlags" variable for TPM2 request and response.\r
152   #  Include/Guid/TrEEPhysicalPresenceData.h\r
153   gEfiTrEEPhysicalPresenceGuid = { 0xf24643c2, 0xc622, 0x494e, { 0x8a, 0xd, 0x46, 0x32, 0x57, 0x9c, 0x2d, 0x5b }}\r
154 \r
155   ## GUID value used for PcdTpmInstanceGuid to indicate TPM is disabled.\r
156   #  Include/Guid/TpmInstance.h\r
157   gEfiTpmDeviceInstanceNoneGuid      = { 0x00000000, 0x0000, 0x0000, { 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 } }\r
158   \r
159   ## GUID value used for PcdTpmInstanceGuid to indicate TPM 1.2 device is selected to support.\r
160   #  Include/Guid/TpmInstance.h\r
161   gEfiTpmDeviceInstanceTpm12Guid     = { 0x8b01e5b6, 0x4f19, 0x46e8, { 0xab, 0x93, 0x1c, 0x53, 0x67, 0x1b, 0x90, 0xcc } }\r
162   \r
163   ## GUID value used for PcdTpmInstanceGuid to indicate discrete TPM 2.0 device is selected to support.\r
164   #  Include/Guid/TpmInstance.h\r
165   gEfiTpmDeviceInstanceTpm20DtpmGuid = { 0x286bf25a, 0xc2c3, 0x408c, { 0xb3, 0xb4, 0x25, 0xe6, 0x75, 0x8b, 0x73, 0x17 } }\r
166   \r
167   ## GUID used to select supported TPM instance from UI.\r
168   #  Include/Guid/TpmInstance.h\r
169   gEfiTpmDeviceSelectedGuid          = { 0x7f4158d3, 0x74d, 0x456d, { 0x8c, 0xb2, 0x1, 0xf9, 0xc8, 0xf7, 0x9d, 0xaa } }\r
170 \r
171   ## GUID used for FormSet and config variable.\r
172   #  Include/Guid/TrEEConfigHii.h\r
173   gTrEEConfigFormSetGuid              = {0xc54b425f, 0xaa79, 0x48b4, { 0x98, 0x1f, 0x99, 0x8b, 0x3c, 0x4b, 0x64, 0x1c }}\r
174 \r
175 [Ppis]\r
176   ## The PPI GUID for that TPM physical presence should be locked.\r
177   # Include/Ppi/LockPhysicalPresence.h\r
178   gPeiLockPhysicalPresencePpiGuid    = { 0xef9aefe5, 0x2bd3, 0x4031, { 0xaf, 0x7d, 0x5e, 0xfe, 0x5a, 0xbb, 0x9a, 0xd } }\r
179 \r
180   ## The PPI GUID for that TPM is initialized.\r
181   # Include/Ppi/TpmInitialized.h\r
182   gPeiTpmInitializedPpiGuid      = { 0xe9db0d58, 0xd48d, 0x47f6, { 0x9c, 0x6e, 0x6f, 0x40, 0xe8, 0x6c, 0x7b, 0x41 }}\r
183 \r
184   ## The PPI GUID for that TPM initialization is done. TPM initialization may be success or fail.\r
185   # Include/Ppi/TpmInitialized.h\r
186   gPeiTpmInitializationDonePpiGuid = { 0xa030d115, 0x54dd, 0x447b, { 0x90, 0x64, 0xf2, 0x6, 0x88, 0x3d, 0x7c, 0xcc }}\r
187 \r
188   ## Include/Ppi/FirmwareVolumeInfoMeasurementExcluded.h\r
189   gEfiPeiFirmwareVolumeInfoMeasurementExcludedPpiGuid = { 0x6e056ff9, 0xc695, 0x4364, { 0x9e, 0x2c, 0x61, 0x26, 0xf5, 0xce, 0xea, 0xae } }\r
190 \r
191 #\r
192 # [Error.gEfiSecurityPkgTokenSpaceGuid]\r
193 #   0x80000001 | Invalid value provided.\r
194 #   0x80000002 | Reserved bits must be set to zero.\r
195 #\r
196 \r
197 [PcdsFixedAtBuild, PcdsPatchableInModule]\r
198   ## Image verification policy for OptionRom. Only following values are valid:<BR><BR>\r
199   #  NOTE: Do NOT use 0x5 and 0x2 since it violates the UEFI specification and has been removed.<BR>\r
200   #  0x00000000      Always trust the image.<BR>\r
201   #  0x00000001      Never trust the image.<BR>\r
202   #  0x00000002      Allow execution when there is security violation.<BR>\r
203   #  0x00000003      Defer execution when there is security violation.<BR>\r
204   #  0x00000004      Deny execution when there is security violation.<BR>\r
205   #  0x00000005      Query user when there is security violation.<BR>\r
206   # @Prompt Set policy for the image from OptionRom.\r
207   # @ValidRange 0x80000001 | 0x00000000 - 0x00000005\r
208   gEfiSecurityPkgTokenSpaceGuid.PcdOptionRomImageVerificationPolicy|0x04|UINT32|0x00000001\r
209 \r
210   ## Image verification policy for removable media which includes CD-ROM, Floppy, USB and network.\r
211   #  Only following values are valid:<BR><BR>\r
212   #  NOTE: Do NOT use 0x5 and 0x2 since it violates the UEFI specification and has been removed.<BR>\r
213   #  0x00000000      Always trust the image.<BR>\r
214   #  0x00000001      Never trust the image.<BR>\r
215   #  0x00000002      Allow execution when there is security violation.<BR>\r
216   #  0x00000003      Defer execution when there is security violation.<BR>\r
217   #  0x00000004      Deny execution when there is security violation.<BR>\r
218   #  0x00000005      Query user when there is security violation.<BR>\r
219   # @Prompt Set policy for the image from removable media.\r
220   # @ValidRange 0x80000001 | 0x00000000 - 0x00000005\r
221   gEfiSecurityPkgTokenSpaceGuid.PcdRemovableMediaImageVerificationPolicy|0x04|UINT32|0x00000002\r
222 \r
223   ## Image verification policy for fixed media which includes hard disk.\r
224   #  Only following values are valid:<BR><BR>\r
225   #  NOTE: Do NOT use 0x5 and 0x2 since it violates the UEFI specification and has been removed.<BR>\r
226   #  0x00000000      Always trust the image.<BR>\r
227   #  0x00000001      Never trust the image.<BR>\r
228   #  0x00000002      Allow execution when there is security violation.<BR>\r
229   #  0x00000003      Defer execution when there is security violation.<BR>\r
230   #  0x00000004      Deny execution when there is security violation.<BR>\r
231   #  0x00000005      Query user when there is security violation.<BR>\r
232   # @Prompt Set policy for the image from fixed media.\r
233   # @ValidRange 0x80000001 | 0x00000000 - 0x00000005 \r
234   gEfiSecurityPkgTokenSpaceGuid.PcdFixedMediaImageVerificationPolicy|0x04|UINT32|0x00000003\r
235 \r
236   ## Defer Image Load policy settings. The policy is bitwise. \r
237   #  If a bit is set, the image from corresponding device will be trusted when loading. Or  \r
238   #  the image will be deferred. The deferred image will be checked after user is identified.<BR><BR>\r
239   #    BIT0       - Image from unknown device. <BR>\r
240   #    BIT1       - Image from firmware volume.<BR>\r
241   #    BIT2       - Image from OptionRom.<BR>\r
242   #    BIT3       - Image from removable media which includes CD-ROM, Floppy, USB and network.<BR>\r
243   #    BIT4       - Image from fixed media device which includes hard disk.<BR>\r
244   # @Prompt Set policy whether trust image before user identification.\r
245   # @ValidRange 0x80000002 | 0x00000000 - 0x0000001F \r
246   gEfiSecurityPkgTokenSpaceGuid.PcdDeferImageLoadPolicy|0x0000001F|UINT32|0x0000004\r
247 \r
248   ## Null-terminated Unicode string of the file name that is the default name to save USB credential.\r
249   #  The specified file should be saved at the root directory of USB storage disk.\r
250   # @Prompt File name to save credential.\r
251   gEfiSecurityPkgTokenSpaceGuid.PcdFixedUsbCredentialProviderTokenFileName|L"Token.bin"|VOID*|0x00000005\r
252 \r
253   ## The size of Append variable buffer. This buffer is reserved for runtime use, OS can append data into one existing variable.\r
254   #  Note: This PCD is not been used.\r
255   # @Prompt Max variable size for append operation.\r
256   gEfiSecurityPkgTokenSpaceGuid.PcdMaxAppendVariableSize|0x2000|UINT32|0x30000005  \r
257 \r
258   ## Specifies the type of TCG platform that contains TPM chip.<BR><BR>\r
259   #  If 0, TCG platform type is PC client.<BR>\r
260   #  If 1, TCG platform type is PC server.<BR>\r
261   # @Prompt Select platform type.\r
262   # @ValidRange 0x80000001 | 0x00 - 0x1 \r
263   gEfiSecurityPkgTokenSpaceGuid.PcdTpmPlatformClass|0|UINT8|0x00000006\r
264   \r
265   ## Progress Code for TPM device subclass definitions.<BR><BR>\r
266   #  EFI_PERIPHERAL_TPM  = (EFI_PERIPHERAL | 0x000D0000) = 0x010D0000<BR>\r
267   # @Prompt Status Code for TPM device definitions\r
268   # @ValidList  0x80000003 | 0x010D0000\r
269   gEfiSecurityPkgTokenSpaceGuid.PcdStatusCodeSubClassTpmDevice|0x010D0000|UINT32|0x00000007\r
270 \r
271 [PcdsFixedAtBuild, PcdsPatchableInModule, PcdsDynamic, PcdsDynamicEx]\r
272   ## Indicates the presence or absence of the platform operator during firmware booting.\r
273   #  If platform operator is not physical presence during boot. TPM will be locked and the TPM commands \r
274   #  that required operator physical presence can not run.<BR><BR>\r
275   #   TRUE  - The platform operator is physically present.<BR>\r
276   #   FALSE - The platform operator is not physically present.<BR>\r
277   # @Prompt Physical presence of the platform operator.\r
278   gEfiSecurityPkgTokenSpaceGuid.PcdTpmPhysicalPresence|TRUE|BOOLEAN|0x00010001\r
279 \r
280 [PcdsFixedAtBuild, PcdsPatchableInModule, PcdsDynamic, PcdsDynamicEx]\r
281   ## Indicates whether TPM physical presence is locked during platform initialization.  \r
282   #  Once it is locked, it can not be unlocked for TPM life time.<BR><BR>\r
283   #   TRUE  - Lock TPM physical presence asserting method.<BR>\r
284   #   FALSE - Not lock TPM physical presence asserting method.<BR>\r
285   # @Prompt Lock TPM physical presence asserting method.\r
286   gEfiSecurityPkgTokenSpaceGuid.PcdPhysicalPresenceLifetimeLock|FALSE|BOOLEAN|0x00010003\r
287 \r
288 [PcdsFixedAtBuild, PcdsPatchableInModule, PcdsDynamic, PcdsDynamicEx]\r
289   ## Indicates whether the platform supports the software method of asserting physical presence.<BR><BR>\r
290   #   TRUE  - Supports the software method of asserting physical presence.<BR>\r
291   #   FALSE - Does not support the software method of asserting physical presence.<BR>\r
292   # @Prompt Enable software method of asserting physical presence.\r
293   gEfiSecurityPkgTokenSpaceGuid.PcdPhysicalPresenceCmdEnable|TRUE|BOOLEAN|0x00010004\r
294 \r
295 [PcdsFixedAtBuild, PcdsPatchableInModule, PcdsDynamic, PcdsDynamicEx]\r
296   ## Indicates whether the platform supports the hardware method of asserting physical presence.<BR><BR>\r
297   #   TRUE  - Supports the hardware method of asserting physical presence.<BR>\r
298   #   FALSE - Does not support the hardware method of asserting physical presence.<BR>\r
299   # @Prompt Enable hardware method of asserting physical presence.\r
300   gEfiSecurityPkgTokenSpaceGuid.PcdPhysicalPresenceHwEnable|TRUE|BOOLEAN|0x00010005\r
301 \r
302 [PcdsFixedAtBuild, PcdsPatchableInModule, PcdsDynamic, PcdsDynamicEx]\r
303   ## This PCD indicates if debugger exists. <BR><BR>\r
304   #   TRUE  - Firmware debugger exists.<BR>\r
305   #   FALSE - Firmware debugger doesn't exist.<BR>\r
306   # @Prompt Firmware debugger status.\r
307   gEfiSecurityPkgTokenSpaceGuid.PcdFirmwareDebuggerInitialized|FALSE|BOOLEAN|0x00010009\r
308 \r
309   ## This PCD indicates the initialization policy for TPM 2.0.<BR><BR>\r
310   #  If 0, no initialization needed - most likely used for chipset SRTM solution, in which TPM is already initialized.<BR>\r
311   #  If 1, initialization needed.<BR>\r
312   # @Prompt TPM 2.0 device initialization policy.<BR>\r
313   # @ValidRange 0x80000001 | 0x00 - 0x1 \r
314   gEfiSecurityPkgTokenSpaceGuid.PcdTpm2InitializationPolicy|1|UINT8|0x0001000A\r
315 \r
316   ## This PCD indicates the initialization policy for TPM 1.2.<BR><BR>\r
317   #  If 0, no initialization needed - most likely used for chipset SRTM solution, in which TPM is already initialized.<BR>\r
318   #  If 1, initialization needed.<BR>\r
319   # @Prompt TPM 1.2 device initialization policy.\r
320   # @ValidRange 0x80000001 | 0x00 - 0x1 \r
321   gEfiSecurityPkgTokenSpaceGuid.PcdTpmInitializationPolicy|1|UINT8|0x0001000B\r
322 \r
323   ## This PCD indicates the TPM 2.0 SelfTest policy.<BR><BR>\r
324   #  if 0, no SelfTest needed - most likely used for fTPM, because it might already be tested.<BR>\r
325   #  if 1, SelfTest needed.<BR>\r
326   # @Prompt TPM 2.0 device selftest.\r
327   # @ValidRange 0x80000001 | 0x00 - 0x1 \r
328   gEfiSecurityPkgTokenSpaceGuid.PcdTpm2SelfTestPolicy|1|UINT8|0x0001000C\r
329 \r
330   ## This PCD indicates Static Core Root of Trust for Measurement (SCRTM) policy using TPM 2.0.<BR><BR>\r
331   #  if 0, no SCRTM measurement needed - In this case, it is already done.<BR>\r
332   #  if 1, SCRTM measurement done by BIOS.<BR>\r
333   # @Prompt SCRTM policy setting for TPM 2.0 device.\r
334   # @ValidRange 0x80000001 | 0x00 - 0x1 \r
335   gEfiSecurityPkgTokenSpaceGuid.PcdTpm2ScrtmPolicy|1|UINT8|0x0001000D\r
336 \r
337   ## This PCD indicates Static Core Root of Trust for Measurement (SCRTM) policy using TPM 1.2.<BR><BR>\r
338   #  if 0, no SCRTM measurement needed - In this case, it is already done.<BR>\r
339   #  if 1, SCRTM measurement done by BIOS.<BR>\r
340   # @Prompt SCRTM policy setting for TPM 1.2 device\r
341   # @ValidRange 0x80000001 | 0x00 - 0x1 \r
342   gEfiSecurityPkgTokenSpaceGuid.PcdTpmScrtmPolicy|1|UINT8|0x0001000E\r
343 \r
344   ## Guid name to identify TPM instance.<BR><BR>\r
345   #  TPM_DEVICE_INTERFACE_NONE means disable.<BR>\r
346   #  TPM_DEVICE_INTERFACE_TPM12 means TPM 1.2 DTPM.<BR>\r
347   #  TPM_DEVICE_INTERFACE_DTPM2 means TPM 2.0 DTPM.<BR>\r
348   # @Prompt TPM device type identifier\r
349   gEfiSecurityPkgTokenSpaceGuid.PcdTpmInstanceGuid |{ 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 }|VOID*|0x0001000F\r
350 \r
351   ## This PCD indicates Hash mask for TPM 2.0.<BR><BR>\r
352   #  If this bit is set, that means this algorithm is needed to extend to PCR.<BR>\r
353   #  If this bit is clear, that means this algorithm is NOT needed to extend to PCR.<BR>\r
354   #    BIT0  -  SHA1.<BR>\r
355   #    BIT1  -  SHA256.<BR>\r
356   #    BIT2  -  SHA384.<BR>\r
357   #    BIT3  -  SHA512.<BR>\r
358   # @Prompt Hash mask for TPM 2.0\r
359   # @ValidRange 0x80000001 | 0x00000000 - 0x0000000F \r
360   gEfiSecurityPkgTokenSpaceGuid.PcdTpm2HashMask|0x0000000F|UINT32|0x00010010\r
361 \r
362   ## This PCD indicates if BIOS auto detect TPM1.2 or dTPM2.0.<BR><BR>\r
363   #  FALSE - No auto detection.<BR>\r
364   #  TRUE  - Auto detection.<BR>\r
365   # @Prompt TPM type detection.\r
366   gEfiSecurityPkgTokenSpaceGuid.PcdTpmAutoDetection|TRUE|BOOLEAN|0x00010011\r
367 \r
368   ## This PCD indicates TPM base address.<BR><BR>\r
369   # @Prompt TPM device address.\r
370   gEfiSecurityPkgTokenSpaceGuid.PcdTpmBaseAddress|0xFED40000|UINT64|0x00010012\r
371 \r
372   ## Provides one or more SHA 256 Hashes of the RSA 2048 public keys used to verify Recovery and Capsule Update images\r
373   #\r
374   # @Prompt One or more SHA 256 Hashes of RSA 2048 bit public keys used to verify Recovery and Capsule Update images\r
375   #\r
376   gEfiSecurityPkgTokenSpaceGuid.PcdRsa2048Sha256PublicKeyBuffer|{0x91, 0x29, 0xc4, 0xbd, 0xea, 0x6d, 0xda, 0xb3, 0xaa, 0x6f, 0x50, 0x16, 0xfc, 0xdb, 0x4b, 0x7e, 0x3c, 0xd6, 0xdc, 0xa4, 0x7a, 0x0e, 0xdd, 0xe6, 0x15, 0x8c, 0x73, 0x96, 0xa2, 0xd4, 0xa6, 0x4d}|VOID*|0x00010013\r
377   \r
378 [UserExtensions.TianoCore."ExtraFiles"]\r
379   SecurityPkgExtra.uni\r