Změnit stav tpm tcm, co to je. Co je TPM a jak jej používat ve Windows. Správa modulu TPM

Článek:

Od redakce portálu VM Guru: tento článek Andrey Lutsenko, specialisty v oblasti informační bezpečnosti, včetně virtuálních prostředí, nám vypráví o potenciální zranitelnosti mnoha softwarových a hardwarových systémů od pracovních stanic po serverové systémy. Podle našeho názoru je materiál jedinečný, zajímavý a relevantní v dnešní době pro mnohá prostředí, která vyžadují zvýšenou pozornost informační bezpečnosti. Děkujeme Andrey za poskytnutí cenného materiálu. Chcete-li kontaktovat autora, použijte informace v sekci "".

Pomocí Hyperdriveru můžete ovládat provozní protokoly různých zařízení a dokonce i ovládat zařízení určená k ochraně výpočetních systémů, které mají speciální systémy na ochranu proti nelegálnímu rušení - nejen moduly TPM, ale také různé Smart karty, všechny druhy tokenů.

Demoverze hyperdriveru „Red Pill“ ve variantě ovládání zařízení byla upravena a na virtualizační platformě jsou zavěšeny specifické handlery, které řídí adresní prostory modulu TPM, když se jakýkoli software pokusí o přístup k těmto hardwarovým prostředkům, hyperdriver zaregistruje tyto události ve výpisu, výpis lze prohlížet přes Hyperagent.

Kromě registrace hardwarové události se registruje adresa příkazu v softwarovém modulu, který provádí toto hardwarové volání. Hyperagent umožňuje prohlížet tyto programové moduly a v případě potřeby je uložit do souboru pro další analýzu.

Nejběžnějším softwarovým nástrojem, který používá modul TRM k ukládání šifrovacích klíčů, je Bitlocker, což je přesně to, co tento program dělá a sleduje hyperdriver Red Pill na snímcích níže.

Operační protokol Bitlocker s modulem TPM

Zpočátku Bitlocker (ve fázi spouštění OS) využívá funkce BIOSu ke čtení šifrovacích klíčů disku z modulu TPM, práce prochází adresovým prostorem I/O portů.
Po načtení jádra OS začne samotný operační systém pracovat s modulem pomocí protokolu 1.2 a dochází k výměně informací přes MMIO adresní prostor.

Protokol aktivace modulu TPM(kliknutím obrázek rozbalíte)

Ovládá se i administrace modulu TRM speciální službou Windows, eviduje se například protokol pro inicializaci čistého modulu TRM a zadání aktivačního klíče do něj. Analogicky můžete jednoduše načíst další šifrovací a aktivační klíče z TPM modulu, ale jedná se pouze o klíče, které si modul TRM vyměňuje s OS. Klíče, které nevycházejí z modulu TPM, lze přečíst registrací protokolu zálohování na externí médium s obsahem modulu TPM.

Z předchozího textu se může zdát, že toto téma není pro naši zemi relevantní, protože použití modulů TPM je zakázáno a další importované nástroje ochrany informací se používají pouze pro důvěrná data.

Základem ruské informační bezpečnosti jsou důvěryhodné stahovací moduly (MDZ) jako „Accord“, „Sobol“ atd. Navíc neprostupné metody odpojování lokálních sítí od externích přístupových linek k internetu podle představ architektů systémů informační bezpečnosti zcela eliminují všechna rizika vnějšího průniku.

Ale, " PANE BOŽE", tyto neproniknutelné prostředky ruského inženýrství a administrativního myšlení se hyperdrivery snadno obejdou a ochrana praská ve švech (samotná ochrana už dlouho neexistuje - jde jen o mnohamilionový byznys).

Informační bezpečnost jako instituce státní politiky se navíc stala naprostou fikcí, - v rámci starého ruského přísloví: "Přísnost zákonů je kompenzována volitelností jejich realizace."

Konkrétní příklad:

Použití kryptografických nástrojů a instalací obsahujících takové nástroje na území Ruska je možné pouze na základě licence (Výnos prezidenta Ruské federace ze dne 3. dubna 1995) nebo oznámení.

V tomto modelu výrobce nainstaluje modul TPM na desku a doručí notebook do Ruska v souladu s postupem oznámení, přičemž oznámí, že toto zařízení je výrobcem ve výrobní fázi deaktivováno:

Deska CF-52 má modul TPM vyrobený společností Infineon SLB 9635 TT1.2

V tomto drahém a pokročilém modelu notebooku lze modul TPM zprovoznit v operačním systému jednoduchou manipulací s tabulkami ACPI systému BIOS, jak je ukázáno níže.

Z výše uvedených diapozitivů je vidět, že dovozce byl ve svém oznámení mazaný a kontrolní státní orgány se „podělaly“.

Povolení importovat údajně deaktivované moduly TPM navíc představuje vážnou hrozbu pro informační bezpečnost země, protože tyto údajně „deaktivované“ moduly TPM používají systémy dálkového ovládání pro výpočetní instalace z notebooku na server včetně. V systémech dálkového ovládání jsou zodpovědní za to, že umožní vzdálenému hostiteli převzít kontrolu nad instalací počítače.

Ale dost smutných věcí, existuje oblast, kde technologie hardwarové virtualizace může skutečně pomoci. Ve skutečnosti, pokud viry neukončíte, pak jim vážně zkomplikujte život (na virech a ne na trojských koních a jiných svinstvech využívajících hloupost a neschopnost uživatele).

Popis hyperdriveru pro řešení této ušlechtilé antivirové úlohy bude uveden v dalším článku.

Japonská společnost Trend Micro odhadla, že malware způsobil v roce 2002 ztrátu 378 milionů dolarů. V roce 2004 bylo 37,8 milionů infikovaných počítačů, což je nárůst o 8 % oproti roku 2003. Podle měsíčních statistik letos opět zaznamenáme nárůst počtu infikovaných počítačů, ale tempo růstu bude nižší než v předchozích letech, a to především díky protiopatřením. Pro IT manažery a administrátory bude závěr logický: musí zabránit vniknutí viru a také spuštění cizího kódu nebo částí programu.

V každém případě je třeba tento přístup odlišit od konvenčních bezpečnostních opatření, jako jsou antivirové skenery, firewally a demilitarizované zóny (DMZ). Poměrně velký počet výrobců softwaru nabízí širokou škálu bezpečnostních produktů, ale výsledky nejsou zdaleka uspokojivé. A za hlavní důvod toho lze považovat to, že žádný z uvedených konceptů zatím nezohlednil jak softwarovou, tak hardwarovou stránku problému. Situaci vyzývá ke změně Trusted Computing Group vydáním řešení „Trusted Platform Module“ (Trusted Platform Module, TPM).

Rostoucí počet infikovaných počítačů (zdroj: Trend Micro, Inc.).

Vývoj TCPA/TCG

Trusted Computing Platform Alliance (TCPA) byla založena v roce 1999. Tehdy se na něm podíleli významní hráči hardwarového a softwarového průmyslu jako HP, IBM, Microsoft a další. Činnost TCPA bohužel nebyla úspěšná kvůli struktuře: kterýkoli ze dvou set členů měl právo odložit nebo zrušit jakékoli rozhodnutí. A v některých oblastech může být velmi obtížné dosáhnout kompromisu.

Proto se v dubnu 2004 TCPA transformovalo na nové konsorcium s názvem Trusted Computing Group (TCG). V nové organizaci může rozhodnout jen několik společností (nazývaných „promotéři“). Dnes mezi ně patří AMD, Hewlett-Packard, IBM, Intel, Microsoft, Seagate, Sony, Sun a Verisign. Zbývající členové, v počtu téměř tisíc, byli nazýváni „přispěvateli“ nebo „osvojiteli“. Podílejí se na navrhování specifikací nebo jednoduše získají včasný přístup k různým novým vývojům.

Mezi výstupy TCPA/TCG patří modul Trusted Platform Module (TPM), dříve známý jako Fritz Chip. Fritz Hollings je americký senátor známý svou horlivou podporou správy digitálních práv (DRM).

TPM je obvykle implementován jako čip na základní desce, který je integrován do procesu spouštění systému. Když počítač zapnete, zkontroluje stav systému (důvěryhodný).

Cíle skupiny Trusted Computing Group

Jedním z cílů TCG bylo vytvořit „bezpečný počítač“, ve kterém jsou ověřovány a chráněny hardware, software a všechny komunikační procesy. Slovo „komunikace“ je zde třeba chápat v obecném smyslu, protože zahrnuje také interakce mezi různými částmi softwaru. Níže jsou uvedeny hlavní úkoly stanovené TCG.

• Bezpečnost dat.
  Data mohou číst pouze oprávnění uživatelé. Přenos dat do az počítače musí být bezpečný. Osobní údaje by neměly být zveřejněny.
• Bezpečnost dat.
  Hardware a software musí zajistit spolehlivé zpracování dat.
• Integrita dat
  Software a data se nesmí bez upozornění měnit (např. viry nebo červy).
• Autorství dat (Autenticita dat).
  Musí být možné ověřit autorství příjemce a odesílatele a také datovou službu (procesem „přidělení“). Každý TPM čip lze jasně identifikovat, takže je zcela evidentně svázán se systémem.

Schopnosti důvěryhodné platformy se samozřejmě neomezují pouze na jeden počítač – lze sem přidat všechny moderní typy komunikace. Vize TCG zahrnuje mobilní telefony a PDA, stejně jako vstupní zařízení, disky a certifikáty. Jako rozšíření TPM lze použít zabezpečovací zařízení, jako je čtečka otisků prstů nebo čtečka duhovky. Rozvojové úsilí v těchto oblastech padlo na bedra podskupin TCG. Jednou z těchto podskupin je TNC (Trusted Network Connect), která se zabývá zabezpečením síťových připojení.

Za zmínku stojí technický problém, který je často zaměňován s pojmem Trusted Computers – DRM. Všimněte si, že úkolem DRM je zabránit neoprávněnému kopírování digitálních informací – filmů, hudby, textu atd.

Technický základ pro takové myšlenky samozřejmě poskytuje důvěryhodná počítačová technologie. Ale zatím se nikdo neodvážil výslovně zavést ochranu autorských práv pro digitální informace. Možná je to kvůli tvrdé kritice, kterou Microsoft obdržel pro platformu Palladium. Byl přepracován společností Microsoft a nyní existuje pod názvem „Next Generation Secure Computing Base“ (NGSCB). Ale před námi není nic jiného než stará nádivka v novém obalu...

Kroky ve vývoji bezpečnostních konceptů (zdroj: Intel).

Moderní vývoj jasně ukazuje vývoj bezpečnostních opatření. Na samém začátku byla řešení čistě softwarová. Pak se objevily izolované aplikace s vlastním hardwarem - stejnými čipovými kartami pro práci v bankovních programech.

Dalším krokem byly hrubé návrhy modulů TP, které ve své moderní podobě představují řešení jako "Fritz chip". Prvním výrobcem hardwaru, který přijal Trusted Computing, byla IBM: notebook ThinkPad T23 byl vybaven modulem TP od společnosti Infineon.

Prvním krokem nad rámec původního konceptu TPM bylo zavedení technologie nazvané Execute Disable Bit (XD) od Intelu, Non Execute (NX) od AMD a Data Execution Protection (DEP) od Microsoftu. Tato technologie bojuje proti útokům přetečením vyrovnávací paměti: paměť je rozdělena do oblastí, ze kterých lze spouštět kód a ze kterých je spouštění zakázáno. Tuto funkci však musí podporovat procesor, operační systém a aplikace. Mezi podporované operační systémy patří Microsoft Windows Server 2003 SP1, Microsoft Windows XP SP2, Windows XP Professional x64, SUSE Linux 9.2 a Enterprise Linux 3 update 3.

Schéma systému TCG.

Moduly TPM (aktuální verze 1.2) poskytují systému tzv. hash (hash) pomocí algoritmu SHA1 (Secure Hash Algorithm). Hodnota hash je odvozena z informací shromážděných ze všech klíčových komponent, jako je grafická karta a procesor, v kombinaci se softwarovými prvky (mimo jiné operační systém).

Počítač se spustí v autorizovaném stavu pouze tehdy, když TPM obdrží správnou hodnotu hash. V ověřeném stavu získá operační systém přístup k šifrovanému kořenovému klíči, který je nutný pro běh aplikací a přístup k datům chráněným systémem TPM. Pokud byla během spouštění přijata nesprávná hodnota hash, pak je systém považován za nedůvěryhodný a poběží na něm pouze běžné, bezplatné soubory a programy.

Mezi výrobce Trusted Platform Module (TPM) dnes patří Infineon, National Semiconductor (ačkoli její divize TPM byla nedávno prodána společnosti Winbond) a Atmel. Kromě toho existují čipy s integrací TPM od Phoenix/Award, procesory od Transmety a síťové řadiče od Broadcomu, které používá Hewlett-Packard. Společnost Seagate oznámila rozhodnutí vydat řadiče pevných disků s integrovanou funkcí TPM.

V oblasti programů využívajících nainstalované TPM nabízí Wave Systems Embassy Security Center, kompletní Embassy Trust Suite (správa dokumentů, digitální podpisy) a CSP Toolkit (Cryptographic Service Provider) pro programátory Windows. IBM nabízí balíček ThinkVantage (především se svými notebooky Thinkpad s TPM) a Ultimaco dodává program pro šifrování dat SafeGuard Easy. Checkpoint prodává sadu produktů pro řadu úloh IT infrastruktury, zatímco Adobe nabízí Acrobat verze 6, který umožňuje pracovat se soubory PDF prostřednictvím TPM.

Dnes však existují spin-off technologie a vylepšení, jejichž bezpečnostní prvky jsou implementovány ještě přísněji. Mezi příklady patří technologie Intel LaGrande, ARM TrustZone a nový produkt příštího roku, 2006, AMD Presidio. Samostatný bezpečnostní modul operačního systému (Nexus v případě Microsoft Vista) propojuje modul TP a bezpečnostní komponenty důvěryhodných aplikací. Díky této podpoře si uživatel může ověřit, že všechny hardwarové komponenty jsou autorizovány TCG, nainstalované aplikace jsou podepsané a žádná z komponent nemá neplatný podpis/sériové číslo.

Pokud budou zjištěny změny v konfiguraci hardwaru, modul TPM bude moci znovu certifikovat nové součásti online. Operační systém s bezpečnostním jádrem Nexus běží v oblastech paměti chráněných procesorem (pamatujte na Data Execution Protection) a data důvěryhodných aplikací nelze zvenčí měnit.

Současný 1,2 TPM má několik příjemných funkcí. „Přímá anonymní atestace“ (DAA) poskytuje zlepšenou komunikaci s ostatními důvěryhodnými klienty. „Lokalita“ zavádí různé úrovně zabezpečení TPM. "Delegování" rozlišuje bezpečnostní charakteristiky různých uživatelů. „NV Storage“ poskytuje lepší využití energeticky nezávislých paměťových médií. „Ochrana transportu“ zlepšuje přenos dat do systémů bez TPM a „Monotonic Counters“ monitoruje každý krok vaší práce, aby se zabránilo takzvaným „replay“ útokům.

Srovnání technologie s Intel AMT

Musíme si alespoň krátce popovídat o Intel Active Management Technology (iAMT). Intel přistupuje k tématu platforem s kompletním balíčkem pro správu, který řeší úkoly správy a zabezpečení. Se sloganem „Discover, Heal and Protect“ („Najít, léčit a chránit“) by měla nastoupit technologie iAMT. Intel poskytuje centralizovanou správu, která využívá zjišťování počítačů bez ohledu na stav a operační systém, zkracuje dobu potřebnou k opravě havárie a usnadňuje správu ochrany počítačů před malwarem. Dosud nejvýkonnějším produktem lze nazvat základní desku Intel D945GNT ve formátu ATX, která kombinuje schopnosti TC a iAMT.

Rizika, nebezpečí a důsledky TPM

S každým vydáním vylepšené bezpečnostní technologie můžete očekávat záplavu kritiky a skepticismu od lidí, kteří jsou připraveni napadnout jakékoli zlepšení. Ale jaká jsou ve skutečnosti rizika a nebezpečí?

Dnes je nejzřetelnější snaha hudebního a video průmyslu donutit všechny uživatele počítačů, aby dodržovali paradigma DRM. Jakmile většina počítačových komponent podporuje TPM a operační systém (například Windows Vista) dokáže efektivně pracovat s TPM, je možné úplné sledování uložených dat vlastníky autorských práv.

"První znamení" lze nazvat pokusem Microsoftu přinutit Media Player aktualizovat DRM bez vědomí uživatele. V důsledku toho vyvstává otázka: jaké údaje v počítači lze považovat za legální a jak se s tím vším vypořádat? Pokud se podíváte na země jako Kuba nebo Severní Korea, pak existuje nebezpečí v podobě nových příležitostí pro cenzuru. Hardwarová ochrana může například umožnit výstup textu a obrázků, které byly ověřeny cenzurou dané země.

Souhlasíte, to vše zanechává uživatelům nepříliš dobrou pachuť, připomínající „černou skříňku“. Neustálým sledováním všech počítačových postupů totiž můžete snadno získat všechny potřebné informace o uživateli a jeho práci.

Systémy s TPM

K testování jsme dostali předběžný vzorek počítače HP Compaq DC7600. Bohužel kromě samotného TP čipu nejsou komponenty v počítači na koncept TPM připraveny. Administrativní software HP/Altiris není zdaleka kompletní a společnost HP nedodává žádný jiný software TPM, ani nekóduje oddíly pevného disku. Současný systém Windows XP, ani v nejnovější verzi x64, také nemůže využívat TPM nebo funkce kódování naplno. Takže celý popis možných funkcí TPM počítače je založen na informacích od HP / Compaq.

Deska HP využívá formát MicroATX a lze ji rozšířit pomocí dceřiné desky se dvěma dalšími sloty PCI.

HP Compaq DC7600 obsahuje jednu z prvních základních desek HP s podporou TPM. Řada 7x00 zahrnuje počítače s modulem TP verze 1.2 a jsou k dispozici i ve formě „configure to order“ (configure-to-order). HP zároveň integrovalo nejen jediný čip TPM, ale také gigabitový řadič Broadcom NetXTreme BCM5752, který splňuje nejnovější specifikace důvěryhodných počítačů. Podle informací na internetu stojí aktivace funkcí TC čipu výrobce 10 dolarů.

Pro správu TPM přidává HP další vrstvu ochrany nazvanou „ProtectTools“. Používá jej program Altiris „HP Client Manager“, který je vhodný i pro správu hardwaru. V této fázi vývoje poskytuje ProtectTools pouze dvě funkce: ochranu identifikačních informací při přihlašování uživatele a také šifrování pevných disků. Každý TPM v počítačích HP Compaq lze samozřejmě jasně identifikovat.

Mezi nejdůležitější vlastnosti konceptu TPM HP Compaq zdůrazňuje následující:

• vestavěná ochrana Nástroje HP poskytují kořenové kódování (kořenové kódování);
• „virtuální smart karty“ (Virtual Smart Card) zlepšují výkon konvenčních smart karet (SmartCard a Token ID);
• rozšíření dalších bezpečnostních nástrojů, jako jsou čipové karty, čtečky otisků prstů;
• vestavěné šifrování bezdrátové sítě, stejně jako ochrana dat a integrita dat (ochrana proti záměně);
• kódování souborů a složek;
• šifrování pošty (klíče dodané TPM);
• správa přístupu a práv v sítích;
• ochrana před útoky hackerů (systémové útoky, DOS/síťové útoky);
• bezpečné přihlášení uživatele, "globální" autentizace uživatele.

Nejnovější gigabitový čip Broadcom podporuje TPM.

Otevřené pouzdro DC7600.

Cílovou skupinou počítačů řady HP Compaq 7x00 – vlastně stejně jako koncepty důvěryhodných počítačů – jsou sítě středních a velkých společností. Tyto sítě budou velmi těžit z funkcí centralizované správy a vyšší ochrany a bezpečnostních funkcí TPM. Dnes HP prodává počítače v řadě ve třech verzích: ultratenký desktop, desktop a „tower“.

Dostali jsme mini „věž“, kterou lze položit i na bok díky gumovým nožičkám na pravé straně pouzdra. Skříň, až na levný plastový přední panel, je kvalitní konstrukce, proto je těžká. Mnoho detailů je promyšleno: například dveře skříně lze rychle otevřít. Podobně se jednotky CD/DVD a pevné disky instalují bez šroubování. Pokud potřebujete přidat nový disk, připojte k němu kolejnice a vložte jej do pozice.

Skříň nabízí dostatek místa pro další dvě 5,25" mechaniky, jednu 3,5" mechaniku a disketovou mechaniku. Zdroj s aktivním chlazením produkuje maximálně 345 wattů.

Kromě rozšíření TPM tu máme typickou základní desku založenou na čipsetu 945 s integrovaným videem (Intel GMA950) a zvukem (AC97). Stávající porty obecně odpovídají typickému kancelářskému počítači. Na zadní straně je šest portů USB 2.0 a rozhraní Gigabit Ethernet, zatímco na přední straně jsou dva zvukové vstupní a výstupní porty USB 2.0. Nenajdete zde FireWire porty, DVI výstup ani S-Video výstup.

Pohled na tělo zezadu a zepředu.

Tyto porty najdete na předním a zadním panelu.

Čtyři PCI sloty. Mezi nimi je vidět konektor, kterým je k základní desce připojena rozšiřující karta.

V případech menších rozměrů používá HP přesně stejnou základní desku MicroATX. A ve velkých případech (jako u nás) je k němu připojena dceřiná karta poskytující další PCI sloty. Samotná deska má dva 32bitové PCI sloty, lze je však pomocí zmíněné dceřiné desky rozšířit o další dva.

IBM již nějakou dobu představuje řešení s vestavěným TPM. S uvedením notebooků T23 ThinkPad lze hesla a klíče bezpečně ukládat, data lze šifrovat lokálně a sítě VPN mohou být bezpečnější.

V dnešní době je stále více počítačů vybaveno TP moduly a uživatel o tom často neví. Když jsme dostali notebook Dell X1 do laboratoře, zjistili jsme, že je vybaven stejným síťovým řadičem Broadcom BCM5752m s podporou TPM.

Závěr

Koncept Trusted Computing je vyspělý technologický přístup, který poskytuje rozumná řešení mnoha, i když ne všech, bezpečnostních rizik. Tento koncept nabízí pohodlnější a výkonnější řešení než jiné přístupy.

Dodatečné náklady na vybavení hardwarových komponent jsou malé a zejména ve firemním prostředí s rozsáhlou IT infrastrukturou může TPM přinést značné výhody. V blízké budoucnosti by se měly objevit procesory, které podporují důvěryhodné výpočty. Technologie LaGrande (Intel) a Presidio (AMD) jsou technicky podobné a umožňují implementaci „zabezpečeného“ jádra systému. Procesory navíc podporují další nechráněné systémové oddíly, které budou dobře fungovat v tandemu s technologiemi Vanderpool a Pacifica (Intel/AMD).

O úspěchu platforem TPM nepochybujeme. Rizika spojená s novou technologií (ostatně jako s každou jinou) existují pouze v souvislosti se zneužíváním jejího potenciálu, které je živeno agresivními výroky některých politiků spojených s obrovským vlivem hudebního a filmového průmyslu. Bohužel nám HP/Compaq nedokázal poskytnout ani beta verzi softwaru, což nám neumožnilo podívat se blíže na potenciál TPM.

Dokud se důvěryhodný výpočetní systém nestane realitou v korporacích, komponenty s TPM se dostanou do svého druhu nečinného stavu. S vydáním Windows Vista se opět vrátíme k technologii TPM a tentokrát blíže.

Filozofové minulosti rádi mluvili o svobodě. „Ti, kteří jsou ochotni vzdát se své svobody, aby získali krátkodobou ochranu před nebezpečím, si nezaslouží ani svobodu, ani bezpečí,“ řekl Benjamin Franklin. „Člověk nemůže být ani otrokem, ani svobodným. Buď je volný – nebo není vůbec,“ prohlásil kategoricky Jean-Paul Sartre. „Svoboda je vědomá nutnost,“ citovali marxisté Benedicta Spinozu.

co je svoboda? Je pro člověka důležité být svobodný a je připraven vyměnit svobodu za bezpečí? K zamyšlení nad tímto tématem přiměla událost, kterou si široká veřejnost nevšimla. Letos v létě Technický výbor JTC1 odhlasoval ve zjednodušeném postupu stanoveném postupem PAS schválení nové verze normy ISO / IEC 11889: 2015, kterou představilo konsorcium Trusted Computing Group (TCG), založené americkými společnostmi AMD, Cisco, HP, IBM, Intel, Microsoft a Wave Systems. A 29. června v Portlandu v Oregonu společnost TCG oznámila, že její standard Trusted Platform Module (TPM) 2.0 byl konečně schválen jako mezinárodní standard.

Výhody TPM

TPM je název specifikace, která popisuje kryptomodul, který ukládá kryptografické klíče k ochraně informací. Jednodušeji řečeno: jedná se o modul zabezpečení informací, který lze nainstalovat na servery, osobní počítače, síť a mobilní zařízení. Podporuje vzdálenou atestaci, která propojuje hardware a software počítače.

Modul je vhodný pro držitele autorských práv, protože umožňuje kontrolovat licencování softwaru, kontrolovat nelegální kopírování hudby, filmů nebo počítačových her. Jednoznačně identifikuje počítač a umožňuje ověření uživatele. TPM zároveň umožňuje generovat klíče, má funkce hashování, generování náhodných čísel.

Hardwarové možnosti TPM jsou výkonově velmi omezené a neumožňují přímé šifrování velkého množství dat vysokou rychlostí. Hromadné šifrování souborů na discích lze provádět programem Windows Bitlocker. Použité kryptoklíče jsou přitom samy šifrovány pomocí TPM, což eliminuje možnost jejich krádeže.

TPM tak může ve spojení s Windows Bitlocker šifrovat disk, chránit data v případě ztráty nebo krádeže počítače, software před modifikací a poškozením viry, ale i bankovní a poštovní programy.

Modul je schopen potvrdit pravost počítače a dokonce i jeho výkon ještě před získáním přístupu do sítě. Obecně výrazně zvyšuje bezpečnost uživatelů, zejména těch, kteří mají malé znalosti problematiky informační bezpečnosti a nedokážou je sami vyřešit.

TPM je skutečně důležitá a užitečná věc. Výrazně zvyšuje bezpečnost uživatelů. Vyvstává ale otázka ceny jistoty. Pokud si člověk nainstaluje do svého domova webkameru, zvyšuje zabezpečení svého domova. Po celou dobu může byt na dálku sledovat a v případě zlodějů volat policii. Ale pokud je schopnost ovládat webovou kameru zachycena, pak se z bezpečnostního zařízení může změnit na sledovací zařízení. Shromážděné informace o osobě - ​​respektive do prostředku kontroly a řízení. A jeho byt se sám promění v celu, ale spíše ve vězení.

Německá pozice

Výsledek hlasování ISO/IEC JTC1 byl předvídatelný. Proti hlasovalo pouze Německo. Rusko se zdrželo, nicméně jeho „proti“ hlasování by stejně nic nerozhodlo. Většina podporovala postoj Američanů. Nepomohla ani bezprecedentní akce – rozeslání uzavřeného dopisu členům výboru od oficiálních zástupců Spolkového ministerstva vnitra a Spolkového ministerstva hospodářství a energetiky Německa s žádostí o „pohřbení“ projektu. Informace o tomto dokumentu pronikly do německého tisku a způsobily spoustu hluku.

Na státní úrovni byla existence takového dopisu německými úřady vyvrácena, nicméně co jiného lze v tomto případě od oficiálních orgánů očekávat. V textu německého dopisu, který má redakce k dispozici a o jehož pravosti nemáme důvod pochybovat, se píše, že „... specifikace uvedené v návrhu normy nejsou dostatečně vyvinuty, aby bylo možné rozhodnout; zejména v důsledku pečlivého zvážení problematiky máme důvod se domnívat, že jejich implementace může výrazně narušit schopnost správy chráněného ICT systému a také potenciálně vést k situacím úplného zablokování systému, prováděného v zájmu některých výrobců výpočetní techniky. Kromě toho se domníváme, že potenciální dopad navrhovaných specifikací na úroveň ochrany osobních údajů a bezpečnosti IT by mohl být velmi problematický a obáváme se, že to bude v rozporu s příslušnou německou legislativou.“

Němečtí specialisté na informační bezpečnost se přitom TPM zásadně nebránili. Spokojeni byli s předchozím standardem TPM 1.2, ve kterém si uživatel zachoval plnou kontrolu nad svou platformou. Modul TPM lze jednoduše deaktivovat. Ve standardu TPM 2.0 to již nebude fungovat.

Navíc se báli samotného přístupu k vývoji standardu, na kterém se podílely pouze americké firmy. Novináři Zeit uvedli, že se německá vláda pokusila podílet na vývoji TPM 2.0, ale byla odmítnuta. Poukázali také na aktivní spolupráci vývojářů standardu s americkou NSA a poskytli bezpečnostní hodnocení TPM 2.0 nezávislými experty. Publikace varovala, že TPM lze považovat za zadní vrátka a existuje vysoká pravděpodobnost, že NSA má přístup ke kryptografickým klíčům.

Větrací otvory a okna

Experti německého Spolkového úřadu pro bezpečnost informačních technologií (BSI) byli znepokojeni tím, že s přechodem na specifikaci TPM 2.0 se tento standard stává povinným pro všechna zařízení s Windows 8.1 a vyšším a tuto funkci nelze deaktivovat.

Ve skutečnosti nelze počítač s TPM 2.0 považovat za zařízení, které je plně pod kontrolou uživatele. Objevily se obavy, že Windows 8 s TPM 2.0 může společnosti Microsoft umožnit ovládat počítač na dálku prostřednictvím vestavěných zadních vrátek.

O německém varování četli i čínští experti. Prozkoumali problém, zjistili podrobnosti a rozhodli se. V květnu 2014 oznámila čínská vládní agentura Xinhua zákaz instalace Windows 8 na vládní počítače. A to jsou s největší pravděpodobností počítače, které patří nejen státu, ale i těm strukturám, které stát ovládá – největším bankám, podnikům v oblasti informační bezpečnosti, telekomunikacím, ale i dalším společnostem, které se chtějí řídit doporučeními své vlády.

Další interní dokument BSI, získaný německou publikací, uvádí: "Windows 7 lze bezpečně spravovat až do roku 2020. Poté musí být nalezena jiná řešení pro správu IT systému." A na webu BSI je přímo napsáno, že mechanismus fungování Windows 8 s TPM 2.0 „může být použit k sabotáži třetími stranami“ a že odborníci považují za nepřijatelné, aby vládní organizace a kritická infrastruktura používali novou verzi TPM. Zdá se tedy, že Němci a Číňané nebudou s upgradem Windows 7 ve veřejném sektoru spěchat ani na Windows 8.

Pozice Ruska

Abychom zjistili pozici Ruska, obrátili jsme se na odborníky – členy Technické komise ISO / IEC JTC1, ruské společnosti Aquarius a Craftway a Microsoft s žádostí o vyjádření k závažnosti obav Německa a Číny ohledně nové normy.

Bohužel odborníci naše otázky buď ignorovali, nebo řekli, že na ně odmítli odpovědět. Jediný odborník, který souhlasil s rozhovorem, byl nezávislý odborník na kybernetickou bezpečnost v automatizovaných řídicích systémech Vadim Podolný.

Co je dobré a co nebezpečné TPM?

TPM, ať už se jedná o nejběžnější TPM 1.2 nebo nadcházející TPM 2.0, je technologický standard propagovaný velkými americkými společnostmi. TPM je ve skutečnosti samostatný modul, který je integrován do počítačů.

Nyní máme kromě počítačů, serverů, terminálů, síťových směrovačů mnoho dalších nových komponent připojených k síti. Jde o ovladače pro průmyslovou automatizaci, zařízení internetu věcí, zařízení, která zodpovídají za lidské zdraví – kardiostimulátory, glukometry zabudované v hodinkách... Zásahem hackera mohou falešně fungovat nebo naopak falešně nefungovat. Důvěryhodné moduly TPM plní důležitý úkol – důvěřovat datům, důvěřovat systému, potvrzovat, že bude správně fungovat.

Myšlenka TPM je správná. Měly by existovat standardní moduly, které zajistí právní relevanci informací. Samotný koncept je následující: vyrobit modul, který je pro hackery složitý a který umí jen velký stát. Je to jako bankovka jako způsob ochrany peněz. Není nic špatného.

Otázka je jiná. Windows 7 měl ikonu "Tento počítač". Ve Windows 10 se nazývá Tento počítač. Už to není váš počítač. Jsme nuceni používat technologie, které nás udrží v bezpečí, ať se nám to líbí nebo ne. Vypadá to, jako by stát zavedl suché právo a řekl, že teď se nebudete opíjet, protože společnost potřebuje zdravé vojáky. Takže i tady.

Pokud je váš počítač unesen, pak ho někdo k něčemu potřebuje. Třeba aby tě následoval. Pokud tuto funkci nemůžete deaktivovat, nejde o nápravu. Jedná se o pasivní způsob útoku. Shromažďování informací je hledáním bodu k útoku. Microsoft vám bere váš počítač za vaše vlastní peníze. Prodá vám svůj operační systém a převezme od vás kontrolu.

Je možné zkontrolovat, zda je v modulu TPM backdoor nebo ne?

Můžete analyzovat standard. Ale když dorazí počítač s modulem TPM připájeným na základní desce, který nebyl vyroben zařízením, které ovládáte, nevíte, co je uvnitř. Dá se tam přidat cokoliv.

Ale můžete přidat záložku do jakéhokoli procesoru nebo řadiče?

Ano jistě. A přístup by měl být stejný. Ve vojenských systémech regulátoři nikdy nepovolí použití čipu vyrobeného neznámou osobou, i když podle otevřeného standardu. Proto máme procesory Baikal a Elbrus. Ruské inženýrské síly stačí k návrhu vlastního TPM. Zatímco v našich továrnách to neumíme vyrobit. Stejně jako procesor. Můžeme ale navrhnout a pak zkontrolovat, zda to udělali tak, jak jsme potřebovali, nebo tam bylo něco přidáno. Takový mechanismus již použití TPM umožní.

A co bychom měli dělat teď, když nemáme vlastní TPM?

Všude používané analogy TPM, které v mnoha ohledech plní svou roli, jsou důvěryhodnými zaváděcími hardwarovými moduly. Používají se i nyní, kdy se TPM objevily na základních deskách.

Nechyběla ani možnost úpravy BIOSu, objevila se technologie UEFI, standard, který umožňuje vytvářet důvěryhodné spouštěcí moduly programově. Ve skutečnosti mohou obsahovat programy, které emulují práci TPM, což se provádí v mnoha vývojových aplikacích. Například v operačním systému seOS, certifikovaném FSB.

A co ruský modul TPM?

V Rusku stále máme firmy, které si pro své projekty objednávají základní desky. Například Aquarius, Kraftway, T-Platforms, MCST a další. Každý z nich je docela schopný navrhnout svůj vlastní modul TPM. A určitě bude vytvořen v blízké budoucnosti s podporou domácích kryptografických algoritmů GOST. A to je důležité nejen pro obranné podniky, ale také pro širokou škálu spotřebitelů, kteří jsou povinni dodržovat ustanovení zákona 152-FZ „O osobních údajích“.

A proč byli Němci tak ostře proti standardu TPM 2.0?

Velmi jednoduché. Chtějí chránit svá data a technologie před USA. Pamatujete si, jak se zrodil SUSE Linux? Stalo se tak poté, co se ukázalo, že při předávání dokumentů z jednoho oddělení Bundeswehru do druhého skončila informace nejprve v NSA. Poté v Německu vznikl SUSE Linux a oddělení bylo převedeno na práci s tímto OS.

Linux také oznámil podporu pro TPM 2.0 od jádra 3.2. Dá se to ale vypnout. A ve Windows nemůžete jít nad osm. Windows je uživatelsky velmi přívětivý operační systém. Je úžasně vymyšlená. Desítky tisíc programátorů pracují na tom, aby se uživatelé cítili pohodlně a pohodlně. Ale jakákoli změna, která je násilně vnucena s tím, že je to pro vaši bezpečnost, je otravná. A specialisté, úředníci a vláda.

Abyste se TPM nebáli, musíte si udělat speciální průzkum, provést kontrolu a zjistit, jestli tam není něco nebezpečného nebo ne. Toto je zcela standardní postup. Někdy se provádí s návštěvou výroby. To je běžná praxe, když zástupci země přijedou do země výrobce a nějakou dobu sedí ve výrobě, rozumí procesům.

A kdo to udělá?

To může být zajímavé pro velké komerční společnosti. Myslím, že nějaké výzkumné práce v tomto formátu již probíhají. A stát se o to bezprostředně nezajímá, protože tam není žádná naše kryptografie, takže stávající moduly nejsou vhodné pro obranný průmysl.

Je možné používat počítače s TPM ve státních úřadech?

Problematika používání TPM ve státních úřadech je poměrně složitá. Myslím, že v příštích vydáních TPM již bude možné kryptografické algoritmy nahradit. Nyní můžete znovu flashnout BIOS a přidat své komponenty. Bude to tedy v TPM. Co se týče současného využití ve veřejném sektoru, je předčasné o tom mluvit. Je ale potřeba si prostudovat možnost vlastní implementace normy. A také je nutné podílet se na vývoji jeho další verze. Abychom mohli vložit naši kryptografii do TPM někoho jiného.

... Obecně je pozice pochopitelná. TPM je nová úroveň zabezpečení. Stát to v obranném průmyslu nějak vyřeší a zbytek použije to, co má. Ve většině případů bude TPM chránit před divokými hackery (v těch věcech ochrany, které TPM poskytuje), ale stále nemůžete uniknout pozornosti Velkého bratra.

Samotné konsorcium, které začínalo jako ryze americký projekt, se rozšiřuje. TCG má v současnosti 11 členů Promoter (AMD, Cisco, Fujitsu, HP, IBM, Infenion, Intel, Juniper, Lenovo, Microsoft a Wave Systems) a 74 členů Contributor. Na těchto seznamech se objevily japonské a čínské společnosti. Ale stále tam nejsou žádní ruští zástupci.

Svoboda nebo bezpečí? Časy existencialistů Sartra a Camuse, kteří si zvolili „cesty svobody“ a studovali svobodného člověka, stojícího na pokraji „ničeho“, jsou pryč s minulým stoletím. Většina lidí zvolila bezpečnost. A teď se dohadujeme jen o délce vodítka. Pro masového uživatele tedy problém TPM neexistuje. Ale stát by neměl být lhostejný k otázce, na čí vodítko jsou jeho státní struktury. A stejně tak i její občané.

Modul důvěryhodné platformy neboli TPM (trusted platform module) je samostatný mikročip na základní desce počítače, který provádí specifickou sadu úkolů souvisejících s kryptografií a zabezpečením počítače.

Například pomocí kryptoprocesoru TPM můžete zašifrovat pevný disk počítače. CPU to samozřejmě také umí, ale pak bude muset plnit více úkolů a rychlost šifrování a dešifrování bude mnohem nižší. K hardwarovému šifrování v TPM dochází prakticky bez snížení výkonu.

Dešifrování je někdy nesprávně označováno jako dešifrování. Rozdíl mezi nimi je v tom, že když dešifrujete, znáte algoritmus a tajný klíč, který data zašifroval, ale když dešifrujete, neznáte to.

TPM může také chránit přihlašovací údaje a kontrolovat programy spuštěné v systému. Zabraňuje infekci rootkity a bootkity (různé škodlivé programy, které se dostanou do počítače před načtením operačního systému nebo skryjí svou přítomnost v systému, a proto je systém nemůže rozpoznat), zajišťuje, že konfigurace počítače nebude změněna bez vědomí uživatele.

Každý kryptografický modul TPM má navíc jedinečný identifikátor, který je zapsán přímo na čip a nelze jej změnit. Proto lze kryptochip použít k ověření při přístupu k síti nebo jakékoli aplikaci.

TPM může generovat silné šifrovací klíče, pokud to vyžaduje operační systém (OS).

Než však budete moci modul TPM používat, musíte jej nakonfigurovat. Nastavení modulu spočívá v několika jednoduchých krocích.

• Nejprve musí být čip aktivován v BIOSu počítače (pokud není aktivován).
• Za druhé, musíte se stát jeho vlastníkem na úrovni operačního systému.

Podívejme se na tyto kroky podrobněji.

1 Povolení TPM v BIOSu počítače

Chcete-li modul povolit, přejděte do systému BIOS a přejděte do části týkající se zabezpečení. Přestože se systém BIOS může u jednotlivých počítačů značně lišit, sekce nastavení zabezpečení se obvykle nazývá „Zabezpečení“. V této části by měla být možnost nazvaná „Bezpečnostní čip“.

Modul může být ve třech stavech:

• Vypnuto (Zakázáno).
• Povoleno a nepoužívá se (neaktivní).
• Povoleno a povoleno (Aktivní).

V prvním případě nebude viditelný v operačním systému, ve druhém bude viditelný, ale systém jej nepoužije, a ve třetím je čip viditelný a bude systémem využíván. Nastavte stav na "aktivní".

Přímo tam v nastavení můžete vymazat staré klíče generované čipem.

Vymazání TPM se může hodit, pokud chcete například prodat svůj počítač. Vezměte prosím na vědomí, že vymazáním klíčů nebudete moci obnovit data zakódovaná těmito klíči (pokud samozřejmě nezašifrujete pevný disk).

Nyní uložte změny ("Save and Exit" nebo stiskněte F10) a restartujte počítač.

Po spuštění počítače otevřete správce zařízení a ujistěte se, že se důvěryhodný modul zobrazuje v seznamu zařízení. Mělo by to být v sekci Bezpečnostní zařízení.

2 Inicializace modulu TPM na Windows

Zbývá inicializovat čip v operačním systému. Chcete-li to provést, otevřete modul snap-in Správa TPM. Tlačítka Windows+R(otevře se okno "Spustit"), do vstupního pole zadejte tpm.msc a stiskněte "Enter". Snímek se spustí "Správa modulu Trusted Platform Module (TPM) na místním počítači".

Zde si mimochodem můžete přečíst další informace – co je TPM, kdy je potřeba jej zapnout a vypnout, změnit heslo atd. Dobrá série článků o TPM je na webu Microsoftu.

Na pravé straně modulu snap-in je nabídka akcí. Klikněte na „Inicializovat TPM...“. Pokud tato funkce není aktivní, váš čip již byl inicializován. Pokud nebyl inicializován vámi a neznáte heslo vlastníka, pak je vhodné resetovat a vymazat paměť modulu, jak je popsáno v předchozím odstavci.

Po spuštění Průvodce inicializací TPM vás vyzve k vytvoření hesla. Vyberte možnost „Automaticky vygenerovat heslo“.

Inicializační program TPM vygeneruje heslo. Uložte jej jako soubor nebo vytiskněte. Nyní klikněte na tlačítko „Inicializovat“ a chvíli počkejte.

Po dokončení program ohlásí úspěšnou inicializaci modulu. Po dokončení inicializace budou všechny další akce s modulem - vypnutí, čištění, obnova dat v případě poruch, resetování zámku - možné pouze s heslem, které jste právě obdrželi.

Nyní je inicializační akce neaktivní, ale je možné deaktivovat TPM, změnit heslo vlastníka a resetovat zámek modulu, pokud k tomu dojde (modul se sám uzamkne, aby zabránil podvodu nebo útoku).

Zde vlastně končí možnosti správy modulu TPM. Všechny další operace, které budou vyžadovat schopnost čipu, proběhnou automaticky – transparentně pro operační systém a nepostřehnutelně pro vás. To vše musí být implementováno softwarově. Novější operační systémy, jako jsou Windows 8 a Windows 10, využívají možnosti TPM více než starší operační systémy.

Hellovichik všem Dnes budeme mluvit o Trusted Platform Module, zjistíme, že se jedná o hru. Trochu obtížné, ale uvědomil jsem si, že Trusted Platform Module (TPM) je modul, který je umístěn na základní desce a uchovává kryptografické klíče pro ochranu informací. Existuje verze 1.0 a pokročilejší moderní 2.0

Existuje také TPM 1.2, který byl vydán 3. března 2011. To znamená, že můžeme dojít k závěru, že tato technologie není tak nová, ale jakoby existuje již dlouhou dobu.

Pokud tomu rozumím, modul Trusted Platform Module se používá v šifrovacích algoritmech, díky čemuž jsou ještě bezpečnější.

Trik je v tom, že modul TPM může pomoci šifrovat a dešifrovat. K dešifrování ale potřebujete kryptografické klíče. A tyto klíče jsou uloženy v samotném čipu. To je tak sofistikovaná technologie.

Aha! Je tu další věc - modul je schopen tyto klíče nejen vytvořit, ale také je svázat se zařízením. Rozumíš? A dešifrovat můžete pouze v případě, že konfigurace počítače, která byla při šifrování, odpovídá té, která je nyní .. zkrátka vážně

Čip se také podílí na technologii BitLocker Drive Encryption (šifrování obsahu jednotek PC).

Tady jsem našel zvláštní obrázek .. TPM je zde zmíněno, ale je těžké pochopit, co s tím má kamna společného:

Co to všechno znamená a kdo za tím stojí?

Vzhled čipu

Zde je jeho Veličenstvo samotný čip TPM (samostatně, ne na základní desce):

Hmm, zajímalo by mě, jestli je možné koupit nový .. a vyměnit ho? No, třeba kdyby se tam ten starý porouchal, vyhořel ... a při pohledu na tento obrázek se zdá, že stále můžete koupit:

no co na to říct? Obecně super. Ale když si koupíte nový čip, bude možné dešifrovat data, která byla zašifrována starým čipem? A teď je to nereálně vážná otázka!

Zde je skutečný čip na základní desce:

Soudě podle vzhledu a designu je reálné jej takříkajíc vyměnit doma

Možnost v BIOS TPM Device

Zde je možnost Trusted Platform Module v samotném systému BIOS - můžete povolit (Enabled) nebo deaktivovat (Disabled):

Možná název a zařízení TPM nebo .. Embedded Security TPM (omlouvám se za kvalitu pánové):

V BIOSu (část Zabezpečení) může být také možnost Discrete TPM FW Switch:

Zjistil jsem, že Discrete TPM FW Switch je diskrétní čipové ovládání. Diskrétní, to je ten čip, který lze takříkajíc vyměnit, odstranit. Pak mě napadla myšlenka - mohou být na základní desce dva čipy TPM? Integrované a diskrétní? A teď se spravují v BIOSu .. zkrátka nevím ..

Dalším příkladem jsou možnosti TPM SUPPORT, TPM State, Pending TPM operation:

Závěr - možnosti závisí na základní desce. Pokud je v BIOSu povolen čip TPM, pak takové zařízení budete mít ve Správci zařízení (pro spuštění - Win + R > devmgmt.msc) v sekci Bezpečnostní zařízení:

Jak vidíte, verze je uvedena naproti zařízení - obrázek výše je zastaralý 1.2 a můžete mít moderní 2.0 (v závislosti na roku výroby základní desky). Ano, nohy! Pokud je verze čipu zastaralá, je možné vyměnit starý čip za nový? Jen myšlenky, ale myslím, že náhrada je docela reálná.

Také v části Systémová zařízení může být modul Infineon Trusted Platform Module:

Některé závěry a mé myšlenky o modulu Trusted Platform Module

Všem, co si o tom myslím, napíšu, ano? Vidět:

Nastavení modulu Trusted Platform Module

Čistě náhodou jsem zjistil, že se ukázalo, že Windows má nastavení Trusted Platform Module, jinak jsem ani nevěděl! Jak otevřít nastavení? Podržte tlačítka Win + R a vložte příkaz:

Otevřel jsem to a tady to je, píše to, že nemůžu najít kompatibilní TPM:

Tady je palačinka, betonový popados. Jen jsem si myslel, že modul .. ne, no, asi mám modul! Ale zdá se, že to není povoleno v biosu. No dobře .. A podíváš se na své místo, co tam budeš mít? No, nastavení bude? Podívej, dobře?

A přesto - tam v nastavení můžete vymazat data TPM. Doufám, že chápete, že to není nutné, pokud se v tom nebudete hrabat. Zjistěte, jaký druh dat tam je. Nebo možná máte v počítači něco zašifrovaného a pokud data vymažete, nebudete je moci později dešifrovat. V podstatě jsem tě varoval.

Pro normální provoz TPM musí být ve Windows nainstalována speciální aktualizace. Zdá se, že se instaluje automaticky. A pokud ne, pak je třeba stáhnout ze stránek výrobce vaší základní desky. Zde jen aktualizací, jak tomu rozumím, máme na mysli ovladač TPM, protože Windows a palivové dříví se mohou nainstalovat a stáhnout je z internetu.

To je vše. Hodně štěstí a trpělivosti, než se znovu setkáme, pánové!