• حالت tpm tcm را تغییر دهید که چیست. TPM چیست و چگونه از آن در ویندوز استفاده کنیم. مدیریت ماژول TPM

    امنیت اطلاعات: ماژول پلتفرم مورد اعتماد و قرص قرمز. قسمت 2.

    مقاله:

    از سردبیران پورتال VM Guru: این مقاله توسط Andrey Lutsenko، متخصص در زمینه امنیت اطلاعات، از جمله محیط های مجازی، در مورد آسیب پذیری بالقوه بسیاری از سیستم های نرم افزاری و سخت افزاری از ایستگاه های کاری تا سیستم های سرور به ما می گوید. به نظر ما، مطالب امروزی برای بسیاری از محیط‌هایی که نیاز به توجه بیشتر به امنیت اطلاعات دارند، منحصر به فرد، جالب و مرتبط است. ما از آندری برای ارائه مطالب ارزشمند تشکر می کنیم. برای تماس با نویسنده، از اطلاعات موجود در بخش "" استفاده کنید.

    با کمک Hyperdriver می‌توانید پروتکل‌های عملکرد دستگاه‌های مختلف و حتی دستگاه‌هایی را که برای محافظت از سیستم‌های محاسباتی طراحی شده‌اند را کنترل کنید که دارای سیستم‌های ویژه محافظت در برابر تداخل غیرقانونی هستند - نه تنها ماژول‌های TPM، بلکه کارت‌های هوشمند مختلف، انواع مختلف توکن ها

    نسخه آزمایشی هایپردرایور "قرص قرمز" در نوع کنترل دستگاه اصلاح شده است، و کنترل کننده های خاصی روی پلت فرم مجازی سازی آویزان می شوند که فضاهای آدرس ماژول TRM را کنترل می کنند، زمانی که هر نرم افزاری سعی می کند به این منابع سخت افزاری دسترسی پیدا کند، hyperdriver این رویدادها را در Dump ثبت می کند، می توان آن را از طریق HyperAgent مشاهده کرد.

    علاوه بر ثبت یک رویداد سخت افزاری، آدرس فرمان در ماژول نرم افزاری که این تماس سخت افزاری را انجام می دهد، ثبت می شود. Hyperagent به شما این امکان را می دهد که این ماژول های برنامه را مشاهده کرده و در صورت لزوم آنها را برای تجزیه و تحلیل بیشتر در یک فایل ذخیره کنید.

    متداول ترین ابزار نرم افزاری که از ماژول TRM برای ذخیره کلیدهای رمزگذاری استفاده می کند Bitlocker است که دقیقاً همان کاری است که این برنامه انجام می دهد و در اسکرین شات های زیر مشغول تماشای Hyperdriver قرص قرمز است.

    پروتکل عملیات Bitlocker با ماژول TPM

    در ابتدا، Bitlocker (در مرحله بوت سیستم عامل) از توابع BIOS برای خواندن کلیدهای رمزگذاری دیسک از ماژول TPM استفاده می کند، کار از طریق فضای آدرس پورت های I / O انجام می شود.
    پس از بارگذاری هسته سیستم عامل، خود سیستم عامل با استفاده از پروتکل 1.2 شروع به کار با ماژول می کند و اطلاعات از طریق فضای آدرس MMIO رد و بدل می شود.

    پروتکل فعال سازی ماژول TPM(برای بزرگ شدن تصویر کلیک کنید)

    مدیریت ماژول TRM توسط یک سرویس ویژه ویندوز نیز کنترل می شود، به عنوان مثال، پروتکل اولیه سازی یک ماژول TRM خالص و وارد کردن یک کلید فعال سازی در آن ثبت می شود. بر اساس قیاس، شما به سادگی می توانید سایر کلیدهای رمزگذاری و فعال سازی را از TPM ماژول بخوانید، اما اینها تنها کلیدهایی هستند که ماژول TRM با سیستم عامل مبادله می کند. کلیدهایی که از TPM ماژول خارج نمی شوند را می توان با ثبت گزارش پشتیبان در یک رسانه خارجی از محتویات TPM ماژول خواند.

    از متن قبلی، ممکن است به نظر برسد که این موضوع برای کشور ما مرتبط نیست، زیرا ماژول های TPM برای استفاده ممنوع هستند و سایر ابزارهای حفاظت اطلاعات وارداتی فقط برای داده های محرمانه استفاده می شوند.

    اساس امنیت اطلاعات روسیه ماژول های دانلود قابل اعتماد (MDZ) مانند "Accord"، "Sobol" و غیره است. علاوه بر این، روش های غیرقابل نفوذ قطع شبکه های محلی از خطوط دسترسی خارجی به اینترنت، طبق ایده های معماران سیستم امنیت اطلاعات ، تمام خطرات نفوذ خارجی را کاملاً از بین ببرید.

    ولی، " ای خدا"، این وسایل غیرقابل نفوذ مهندسی و تفکر اداری روسی به راحتی توسط هایپردرایورها کنار گذاشته می شود و محافظت در حال ترکیدن است (مدتها است که هیچ محافظتی وجود ندارد - فقط یک تجارت چند میلیون دلاری وجود دارد).

    علاوه بر این، امنیت اطلاعات، به عنوان نهادی از سیاست های دولتی، به داستانی کامل تبدیل شده است، - در چارچوب یک ضرب المثل قدیمی روسی: "سخت قوانین با اختیاری بودن اجرای آنها جبران می شود."

    مثال مشخص:

    استفاده از ابزارهای رمزنگاری و تأسیسات حاوی چنین ابزارهایی در ترکیب آنها در قلمرو روسیه فقط بر اساس مجوز (فرمان رئیس جمهور فدراسیون روسیه در 3 آوریل 1995) یا اطلاعیه امکان پذیر است.

    در این مدل سازنده، ماژول TPM را بر روی برد نصب می کند و طبق روال اطلاع رسانی لپ تاپ را به روسیه تحویل می دهد و گزارش می دهد که این دستگاه در مرحله تولید توسط سازنده غیرفعال شده است:

    برد CF-52 دارای یک ماژول TPM است که توسط Infineon SLB 9635 TT1.2 ساخته شده است.

    در این مدل لپ تاپ گران قیمت و پیشرفته، ماژول TPM را می توان با دستکاری های ساده با جداول BIOS ACPI که در زیر نشان داده شده است، در سیستم عامل قابل اجرا کرد.

    از اسلایدهای بالا می توان فهمید که واردکننده در اطلاعیه خود حیله گری کرده است و مقامات دولتی کنترل کننده "مخلوط" کرده اند.

    علاوه بر این، مجوز وارد کردن ماژول‌های غیرفعال TPM تهدیدی جدی برای امنیت اطلاعات کشور است، زیرا این ماژول‌های ظاهراً غیرفعال شده TPM توسط سیستم‌های کنترل از راه دور برای محاسبات نصب از لپ‌تاپ به سرور استفاده می‌شوند. در سیستم های کنترل از راه دور، آنها مسئول اجازه دادن به میزبان راه دور برای کنترل نصب محاسباتی هستند.

    اما به اندازه کافی چیزهای غم انگیز، زمینه ای وجود دارد که فناوری مجازی سازی سخت افزار واقعا می تواند کمک کند. در واقع، اگر به ویروس ها پایان ندهید، زندگی آنها را به طور جدی پیچیده کنید (این ویروس ها هستند و نه تروجان ها و سایر زباله ها که از حماقت و بی کفایتی کاربر سوء استفاده می کنند).

    شرح هایپردرایور برای حل این وظیفه آنتی ویروس نجیب در مقاله بعدی ارائه خواهد شد.

    لطفا جاوا اسکریپت را برای مشاهده فعال کنید

    به گفته شرکت ژاپنی Trend Micro، در سال 2002 بدافزار باعث زیان 378 میلیون دلاری شد.در سال 2004، 37.8 میلیون رایانه آلوده وجود داشت که 8 درصد بیشتر از سال 2003 بود. انتظار می رود که تعداد رایانه های آلوده افزایش یابد، اما نرخ رشد خواهد بود کمتر از سال های گذشته، عمدتا به دلیل اقدامات متقابل. برای مدیران و مدیران فناوری اطلاعات، نتیجه گیری منطقی خواهد بود: آنها باید از نفوذ ویروس و همچنین اجرای کدهای اضافی یا بخش هایی از یک برنامه جلوگیری کنند.

    در هر صورت، این رویکرد باید از اقدامات امنیتی متعارف مانند اسکنرهای ویروس، فایروال ها و مناطق غیرنظامی (DMZ) متمایز شود. تعداد نسبتاً زیادی از فروشندگان نرم افزار طیف گسترده ای از محصولات امنیتی را ارائه می دهند، اما نتایج چندان رضایت بخش نیستند. و دلیل اصلی این امر را می توان این دانست که هیچ یک از مفاهیم ذکر شده تاکنون هم جنبه نرم افزاری و هم سخت افزاری مشکل را در نظر نگرفته است. وضعیت نامیده می شود تا با انتشار راه حل های "ماژول پلتفرم مورد اعتماد" (Trusted Platform Module، TPM) گروه محاسباتی مورد اعتماد را تغییر دهد.


    افزایش تعداد رایانه های آلوده (منبع: Trend Micro, Inc.).

    تحولات TCPA/TCG

    Trusted Computing Platform Alliance (TCPA) در سال 1999 تاسیس شد. در آن زمان بازیگران مهمی در صنعت سخت افزار و نرم افزار مانند اچ پی، آی بی ام، مایکروسافت و ... در آن شرکت داشتند. متأسفانه، فعالیت های TCPA به دلیل ساختار موفقیت آمیز نبود: هر یک از دویست عضو حق داشتند هر تصمیمی را به تعویق بیاندازند یا لغو کنند. و رسیدن به سازش در برخی زمینه ها می تواند بسیار دشوار باشد.

    به همین دلیل است که در آوریل 2004، TCPA به کنسرسیوم جدیدی به نام گروه محاسبات مورد اعتماد (TCG) تبدیل شد. در سازمان جدید، تنها چند شرکت (موسوم به "پروموتر") می توانند تصمیم بگیرند. امروزه آنها عبارتند از AMD، Hewlett-Packard، IBM، Intel، Microsoft، Seagate، Sony، Sun و Verisign. اعضای باقی مانده، نزدیک به هزار نفر، «مشارکت کنندگان» یا «پذیرنده» نامیده می شدند. آنها در تهیه پیش نویس مشخصات شرکت می کنند یا به سادگی به پیشرفت های مختلف جدید دسترسی دارند.

    خروجی های TCPA/TCG شامل ماژول پلتفرم مورد اعتماد (TPM) است که قبلاً به نام تراشه فریتز شناخته می شد. فریتز هولینگز یک سناتور آمریکایی است که به دلیل حمایت پرشور خود از مدیریت حقوق دیجیتال (DRM) شهرت دارد.

    TPM معمولاً به عنوان یک تراشه بر روی مادربرد اجرا می شود که در فرآیند بوت سیستم یکپارچه شده است. هنگامی که رایانه را روشن می کنید، وضعیت سیستم (معتمد) را بررسی می کند.

    اهداف گروه محاسبات مورد اعتماد

    یکی از اهداف TCG ایجاد یک "کامپیوتر ایمن" بود که در آن سخت افزار، نرم افزار و کلیه فرآیندهای ارتباطی تایید و محافظت می شوند. کلمه "ارتباطات" در اینجا باید به معنای کلی درک شود، زیرا شامل تعامل بین بخش های مختلف نرم افزار نیز می شود. در زیر وظایف اصلی تعیین شده توسط TCG آمده است.

    • امنیت داده ها.
      داده ها فقط توسط کاربران مجاز قابل خواندن است. انتقال داده به و از کامپیوتر باید ایمن باشد. داده های شخصی نباید افشا شود.
    • ایمنی داده ها
      سخت افزار و نرم افزار باید از مدیریت قابل اعتماد داده ها اطمینان حاصل کنند.
    • یکپارچگی داده
      نرم افزار و داده ها نباید بدون اطلاع قبلی تغییر کنند (مثلاً توسط ویروس ها یا کرم ها).
    • تألیف داده ها (Data authenticity).
      تأیید نویسندگی گیرنده و فرستنده و همچنین سرویس داده (از طریق فرآیند "تخصیص") باید امکان پذیر باشد. هر تراشه TPM را می توان به وضوح شناسایی کرد، بنابراین کاملاً آشکارا به سیستم گره خورده است.

    البته، قابلیت های یک پلت فرم قابل اعتماد به یک کامپیوتر محدود نمی شود - همه انواع مدرن ارتباطات را می توان در اینجا اضافه کرد. چشم انداز TCG شامل تلفن های همراه و PDA و همچنین دستگاه های ورودی، درایوها و گواهی ها می شود. دستگاه های امنیتی مانند اثر انگشت یا خواننده عنبیه را می توان به عنوان پسوند TPM استفاده کرد. تلاش های توسعه در این مناطق بر دوش زیر گروه های TCG افتاد. یکی از این زیر گروه ها TNC (Trusted Network Connect) است که بر روی امنیت اتصالات شبکه کار می کند.

    نکته قابل توجه یک مسئله فنی است که اغلب با مفهوم رایانه های قابل اعتماد - DRM اشتباه گرفته می شود. توجه داشته باشید که وظیفه DRM جلوگیری از کپی غیر مجاز اطلاعات دیجیتال - فیلم، موسیقی، متن و غیره است.

    البته، فناوری کامپیوتری مورد اعتماد، مبنایی فنی برای چنین افکاری فراهم می کند. اما تاکنون هیچ کس جرأت نکرده است که صریحاً حفاظت از حق چاپ را برای اطلاعات دیجیتال اجرا کند. شاید این به دلیل انتقاد شدید مایکروسافت برای پلتفرم پالادیوم باشد. این توسط مایکروسافت تجدید نظر شد و اکنون تحت نام "نسل بعدی پایگاه محاسبات ایمن" (NGSCB) وجود دارد. اما در مقابل ما چیزی نیست جز چاشنی های قدیمی در یک لفاف جدید ...


    مراحل توسعه مفاهیم امنیتی (منبع: اینتل).

    تحولات مدرن به وضوح توسعه اقدامات امنیتی را نشان می دهد. در همان ابتدا راه حل ها کاملاً نرم افزاری بودند. سپس برنامه های جداگانه با سخت افزار خود ظاهر شدند - همان کارت های هوشمند برای کار در برنامه های بانکی.

    گام بعدی پیش نویس های خشن ماژول های TP بود که در شکل مدرن خود راه حل هایی مانند "تراشه فریتز" را نشان می دهند. اولین سازنده سخت افزاری که محاسبات قابل اعتماد را پذیرفت، IBM بود: لپ تاپ ThinkPad T23 به یک ماژول TP از Infineon مجهز شده بود.

    اولین قدم فراتر از مفهوم اولیه TPM، معرفی فناوری به نام Execute Disable Bit (XD) از Intel، Non Execute (NX) از AMD، و Data Execution Protection (DEP) از مایکروسافت بود. این فناوری با حملات سرریز بافر مبارزه می کند: حافظه به مناطقی تقسیم می شود که کد را می توان از آنها اجرا کرد و اجرا از آنها ممنوع است. با این حال، این ویژگی باید توسط پردازنده، سیستم عامل و برنامه ها پشتیبانی شود. سیستم عامل های پشتیبانی شده عبارتند از Microsoft Windows Server 2003 SP1، Microsoft Windows XP SP2، Windows XP Professional x64، SUSE Linux 9.2 و Enterprise Linux 3 update 3.


    طرح سیستم TCG.

    ماژول های TPM (نسخه فعلی 1.2) با استفاده از الگوریتم SHA1 (الگوریتم هش ایمن) به اصطلاح هش (هش) را در اختیار سیستم قرار می دهند. مقدار هش از اطلاعات جمع‌آوری‌شده از تمام اجزای کلیدی مانند کارت گرافیک و پردازنده، همراه با عناصر نرم‌افزاری (سیستم عامل، از جمله موارد دیگر) به دست می‌آید.

    کامپیوتر فقط در شرایط مجاز شروع به کار می کند که TPM مقدار هش صحیح را دریافت کند. در حالت تایید شده، سیستم عامل به کلید ریشه رمزگذاری شده دسترسی پیدا می کند که برای اجرای برنامه ها و دسترسی به داده های محافظت شده توسط سیستم TPM لازم است. اگر مقدار هش نادرستی در هنگام بوت دریافت شود، سیستم غیرقابل اعتماد تلقی می شود و فقط فایل ها و برنامه های معمولی و رایگان روی آن اجرا می شوند.

    امروزه تولیدکنندگان ماژول پلتفرم مورد اعتماد (TPM) عبارتند از Infineon، National Semiconductor (اگرچه بخش TPM آن اخیرا به Winbond فروخته شده است) و Atmel. علاوه بر این، تراشه‌هایی با ادغام TPM از Phoenix/Award، پردازنده‌هایی از Transmeta و کنترل‌کننده‌های شبکه از Broadcom وجود دارند که توسط Hewlett-Packard استفاده می‌شوند. سیگیت تصمیم خود را برای عرضه کنترلرهای هارد دیسک با عملکرد TPM یکپارچه اعلام کرده است.

    در زمینه برنامه هایی با استفاده از TPM های نصب شده، Wave Systems مرکز امنیتی سفارت، مجموعه کامل Embassy Trust Suite (مدیریت اسناد، امضای دیجیتال) و جعبه ابزار CSP (ارائه دهنده خدمات رمزنگاری) را برای برنامه نویسان ویندوز ارائه می دهد. IBM بسته ThinkVantage را (عمدتاً با لپ‌تاپ‌های Thinkpad مجهز به TPM) ارائه می‌کند و Ultimaco برنامه رمزگذاری داده SafeGuard Easy را ارائه می‌کند. Checkpoint مجموعه ای از محصولات را برای طیف وسیعی از وظایف زیرساخت فناوری اطلاعات می فروشد، در حالی که Adobe نسخه 6 Acrobat را ارائه می دهد که به شما امکان می دهد از طریق TPM با فایل های PDF کار کنید.

    با این حال، امروزه فن‌آوری‌ها و پیشرفت‌هایی وجود دارد که ویژگی‌های ایمنی آنها با دقت بیشتری اجرا می‌شوند. به عنوان مثال می توان به فناوری Intel LaGrande، ARM TrustZone و محصول جدید سال آینده، 2006، AMD Presidio اشاره کرد. یک موتور امنیتی سیستم عامل جداگانه (Nexus در مورد مایکروسافت ویستا) ماژول TP و مؤلفه های امنیتی برنامه مورد اعتماد را به هم پیوند می دهد. با این پشتیبانی، کاربر می‌تواند تأیید کند که همه اجزای سخت‌افزار دارای مجوز TCG هستند، برنامه‌های نصب‌شده امضا شده‌اند، و هیچ‌یک از مؤلفه‌ها دارای امضا/شماره سریال نامعتبر نیستند.

    اگر تغییراتی در پیکربندی سخت‌افزار شناسایی شود، TPM می‌تواند اجزای جدید را مجدداً به صورت آنلاین تأیید کند. سیستم عامل با هسته امنیتی Nexus در مناطقی از حافظه محافظت شده توسط پردازنده اجرا می شود (به یاد داشته باشید، حفاظت از اجرای داده)، و داده های برنامه های کاربردی قابل اعتماد را نمی توان از خارج تغییر داد.

    1.2 TPM فعلی دارای برخی ویژگی های خوب است. "تأیید ناشناس مستقیم" (DAA) ارتباط بهبود یافته ای را با سایر مشتریان قابل اعتماد فراهم می کند. "محلی" سطوح مختلف امنیت TPM را معرفی می کند. "Delegation" ویژگی های امنیتی کاربران مختلف را متمایز می کند. "NV Storage" استفاده بهتر از رسانه های ذخیره سازی غیر فرار را فراهم می کند. "محافظت از حمل و نقل" انتقال داده ها را به سیستم های غیر TPM بهبود می بخشد، و "Monotonic Counters" هر مرحله از کار شما را ردیابی می کند تا از حملات به اصطلاح "بازپخش" جلوگیری کند.

    مقایسه فناوری با Intel AMT

    ما باید حداقل به طور خلاصه در مورد فناوری مدیریت فعال اینتل (iAMT) صحبت کنیم. اینتل با یک بسته مدیریتی کامل که وظایف مدیریتی و امنیتی را انجام می دهد، به موضوع پلتفرم ها نزدیک می شود. با شعار "کشف، شفا و محافظت" ("یافتن، درمان و محافظت")، فناوری iAMT باید وارد شود. اینتل مدیریت متمرکزی را ارائه می دهد که بدون توجه به وضعیت و سیستم عامل از کشف ماشین استفاده می کند، زمان رفع خرابی را کاهش می دهد و مدیریت محافظت از رایانه ها در برابر بدافزارها را آسان تر می کند. قدرتمندترین محصول تا به امروز را می توان مادربرد Intel D945GNT در فرم فاکتور ATX نامید که ترکیبی از قابلیت های TC و iAMT است.

    خطرات، خطرات و پیامدهای TPM

    با هر نسخه از فناوری امنیتی بهبود یافته، می توانید انتظار سیل انتقادات و شک و تردیدهای مردمی را داشته باشید که آماده به چالش کشیدن هر پیشرفتی هستند. اما واقعاً چه خطرات و خطراتی وجود دارد؟

    امروزه بارزترین تلاش صنعت موسیقی و ویدئو برای وادار کردن همه کاربران کامپیوتر به پیروی از الگوی DRM است. به محض اینکه اکثر اجزای کامپیوتر از TPM پشتیبانی می کنند، و سیستم عامل (به عنوان مثال، ویندوز ویستا) می تواند به طور موثر با TPM کار کند، ردیابی کامل داده های ذخیره شده توسط صاحبان حق چاپ امکان پذیر است.

    اولین علامت را می توان تلاش مایکروسافت برای وادار کردن Media Player به آپدیت DRM بدون اطلاع کاربر نامید. در نتیجه، این سؤال مطرح می شود: چه داده هایی در رایانه را می توان قانونی در نظر گرفت و چگونه با همه اینها برخورد کرد؟ اگر به کشورهایی مانند کوبا یا کره شمالی نگاه کنید، خطری در قالب فرصت های جدید برای سانسور وجود دارد. برای مثال، حفاظت از سخت‌افزار ممکن است خروجی متن و تصاویری را که توسط سانسور یک کشور تأیید شده‌اند اجازه دهد.

    موافقم، همه اینها طعم نه چندان خوبی را برای کاربران به جا می گذارد، شبیه یک "جعبه سیاه". در واقع، با نظارت مداوم بر تمام مراحل رایانه، به راحتی می توانید تمام اطلاعات لازم در مورد کاربر و کار او را به دست آورید.

    سیستم های دارای TPM

    برای آزمایش، یک نمونه اولیه از کامپیوتر HP Compaq DC7600 دریافت کردیم. متأسفانه، جدا از خود تراشه TP، اجزای رایانه برای مفهوم TPM آماده نیستند. نرم افزار اداری HP/Altiris هنوز کامل نشده است و HP هیچ نرم افزار TPM دیگری را ارسال نمی کند یا حتی پارتیشن های هارد دیسک را کدگذاری نمی کند. همچنین، ویندوز XP فعلی، حتی در آخرین نسخه x64، نمی‌تواند از ویژگی‌های TPM یا رمزگذاری تا حد امکان استفاده کند. بنابراین کل شرح عملکردهای احتمالی TPM رایانه بر اساس اطلاعات HP / Compaq است.


    برد HP از فرم فاکتور MicroATX استفاده می کند و می تواند از طریق یک تخته دختر با دو اسلات PCI اضافی گسترش یابد.

    HP Compaq DC7600 دارای یکی از اولین مادربردهای HP با قابلیت TPM است. خط 7x00 شامل رایانه‌هایی با ماژول TP نسخه 1.2 می‌شود و همچنین به شکل "پیکربندی به سفارش" (پیکربندی به سفارش) در دسترس هستند. در عین حال، HP نه تنها یک تراشه TPM، بلکه یک کنترلر گیگابیتی Broadcom NetXTreme BCM5752 را نیز ادغام کرده است که آخرین مشخصات محاسباتی قابل اعتماد را برآورده می کند. بر اساس اطلاعات موجود در اینترنت، فعال سازی عملکردهای تراشه TC 10 دلار برای سازنده هزینه دارد.

    برای مدیریت TPM، HP لایه دیگری از حفاظت به نام "ProtectTools" را اضافه می کند. این برنامه توسط برنامه Altiris "HP Client Manager" استفاده می شود که برای مدیریت سخت افزار نیز مناسب است. در این مرحله از توسعه، ProtectTools تنها دو عملکرد را ارائه می دهد: محافظت از اطلاعات شناسایی در هنگام ورود کاربر، و همچنین رمزگذاری هارد دیسک ها. البته هر TPM در کامپیوترهای HP Compaq به وضوح قابل شناسایی است.

    در میان مهمترین ویژگی های مفهومی TPM، HP Compaq موارد زیر را برجسته می کند:

    • حفاظت داخلی HP Tools کدگذاری ریشه (رمزگذاری ریشه) را ارائه می دهد.
    • "کارت های هوشمند مجازی" (Virtual Smart Card) عملکرد کارت های هوشمند معمولی (SmartCard و Token ID) را بهبود می بخشد.
    • گسترش سایر ابزارهای امنیتی مانند کارت های هوشمند، خوانندگان اثر انگشت؛
    • رمزگذاری شبکه بی سیم داخلی و همچنین حفاظت از داده ها و یکپارچگی داده ها (محافظت در برابر جایگزینی).
    • رمزگذاری فایل ها و پوشه ها؛
    • رمزگذاری نامه (کلیدهای ارائه شده توسط TPM)؛
    • مدیریت دسترسی و حقوق در شبکه ها؛
    • محافظت در برابر حملات هکرها (حملات سیستم، حملات DOS / شبکه)؛
    • ورود امن کاربر، احراز هویت کاربر "جهانی".


    آخرین تراشه گیگابیتی Broadcom از TPM پشتیبانی می کند.


    قاب باز DC7600.

    مخاطبان رایانه های خط HP Compaq 7x00 - در واقع و همچنین مفاهیم رایانه های قابل اعتماد - شبکه های شرکت های متوسط ​​و بزرگ هستند. این شبکه ها تا حد زیادی از ویژگی های مدیریت متمرکز و ویژگی های حفاظتی و امنیتی بالاتر TPM بهره مند خواهند شد. امروزه HP کامپیوترهای خطی را در سه نسخه می فروشد: دسکتاپ فوق نازک، دسکتاپ و "برج".

    ما یک "برج" کوچک گرفتیم که به لطف پایه های لاستیکی در سمت راست کیس می توان آن را نیز در کنار آن قرار داد. بدنه به جز پنل جلوی پلاستیکی ارزان قیمت، کیفیت ساخت بالایی دارد و به همین دلیل سنگین است. بسیاری از جزئیات به خوبی در نظر گرفته شده اند: به عنوان مثال، درب محفظه را می توان به سرعت باز کرد. به طور مشابه، درایوهای CD / DVD و هارد دیسک بدون پیچ نصب می شوند. اگر نیاز به اضافه کردن یک درایو جدید دارید، ریل ها را به آن وصل کنید و آن را در محفظه قرار دهید.

    کیس فضای کافی را برای دو درایو 5.25 اینچی اضافی، یک درایو 3.5 اینچی و یک فلاپی درایو فراهم می کند. منبع تغذیه با خنک کننده فعال حداکثر 345 وات تولید می کند.

    علاوه بر پسوند TPM، ما یک مادربرد معمولی مبتنی بر چیپست 945 با ویدئو (Intel GMA950) و صدا (AC97) داریم. پورت های موجود به طور کلی با یک کامپیوتر اداری معمولی مطابقت دارند. در پشت 6 پورت USB 2.0 و یک رابط اترنت گیگابیتی وجود دارد، در حالی که در قسمت جلو دو پورت ورودی و خروجی صدا USB 2.0 وجود دارد. پورت های FireWire، خروجی DVI یا خروجی S-Video را پیدا نخواهید کرد.


    نمای بدن از پشت و جلو.


    این پورت ها را در پنل جلو و عقب خواهید دید.


    چهار اسلات PCI بین آنها می توانید کانکتوری را ببینید که با آن یک کارت توسعه به مادربرد متصل است.

    در موارد فرم فاکتور کوچکتر، HP دقیقاً از همان مادربرد MicroATX استفاده می کند. و در موارد بزرگ (مانند ما)، یک کارت دختر به آن متصل می شود که اسلات های PCI اضافی را فراهم می کند. خود برد دارای دو اسلات PCI 32 بیتی است، اما با استفاده از برد دختر ذکر شده می توان آنها را با دو اسلات دیگر افزایش داد.

    مشخصات فنی
    CPU پردازنده Intel Pentium 4 630 (3.0 گیگاهرتز، 2 مگابایت حافظه نهان L2)
    حافظه 2 x 256 مگابایت DDR2 (PC2-4200/DDR2-533)
    اسلات حافظه 4 عدد DIMM
    HDD 80 گیگابایت (7200 دور در دقیقه)
    خلیج های رانندگی 3x 5.25"، 1x 3.5"، 2x داخلی 3.5"
    درایو CD/DVD DVD-ROM 16x/48x
    راندن 1.44 مگابایت
    کنترلر دیسک سخت SMART III Serial ATA 3.0 Gb/s
    قاب مینی "برج"
    رابط کاربری گرافیکی PCI Express x16
    سیستم عامل Microsoft Windows XP Professional، Microsoft Windows XP Home و SuSE Linux
    شکاف ها 2 PCI تمام قد، ​​1 PCI Express x1 تمام قد، ​​1 PCI Express x16 تمام قد (2 اسلات PCI تمام قد اضافی)
    صدا صدای یکپارچه با وضوح بالا با کدک دو کاناله Realtek ALC260
    خالص کنترلر یکپارچه Gigabit Broadcom NetXtreme TPM (BCM5752)
    کارت های شبکه Intel Pro 1000 MT Gigabit NIC (x1 PCI Express)
    پورت های ورودی/خروجی خارجی عقب: 6x USB 2.0، 1x پورت سریال، 1x پورت موازی، 2x PS/2 برای صفحه کلید/ماوس، 1x RJ45 برای شبکه، 1x D-SUB VGA، پورت های صوتی. جلو: 2 USB 2.0، هدفون

    مدتی است که IBM راه حل هایی را با TPM داخلی معرفی کرده است. با عرضه لپ‌تاپ‌های T23 ThinkPad، گذرواژه‌ها و کلیدها را می‌توان به صورت ایمن ذخیره کرد، داده‌ها را می‌توان به صورت محلی رمزگذاری کرد و VPN‌ها می‌توانند ایمن‌تر باشند.

    امروزه کامپیوترهای بیشتری به ماژول های TP مجهز می شوند و کاربر اغلب از این موضوع بی اطلاع است. وقتی لپ تاپ Dell X1 را در آزمایشگاه دریافت کردیم، متوجه شدیم که به همان کنترلر شبکه Broadcom BCM5752m با پشتیبانی TPM مجهز شده است.

    نتیجه

    مفهوم محاسبات مورد اعتماد یک رویکرد فناوری بالغ است که راه حل های معقولی را برای بسیاری از خطرات امنیتی، هرچند نه همه، ارائه می دهد. این مفهوم راه‌حل‌های راحت‌تر و قدرتمندتری را نسبت به سایر رویکردها ارائه می‌دهد.

    هزینه اضافی تجهیز قطعات سخت افزاری اندک است و به خصوص در یک محیط شرکتی با زیرساخت بزرگ فناوری اطلاعات، TPM می تواند مزایای قابل توجهی به همراه داشته باشد. در آینده نزدیک، پردازنده‌هایی که از محاسبات قابل اعتماد پشتیبانی می‌کنند باید ظاهر شوند. فناوری‌های LaGrande (اینتل) و Presidio (AMD) از نظر فنی مشابه هستند و امکان اجرای یک هسته سیستم "ایمن" را فراهم می‌کنند. علاوه بر این، پردازنده‌ها از پارتیشن‌های سیستم محافظت‌نشده اضافی پشتیبانی می‌کنند که به خوبی با فناوری‌های Vanderpool و Pacifica (Intel/AMD) کار می‌کنند.

    ما هیچ شکی در مورد موفقیت پلتفرم های TPM نداریم. خطرات مرتبط با فناوری جدید (در واقع، مانند سایر موارد) تنها در ارتباط با استفاده نادرست از پتانسیل آن وجود دارد، که با اظهارات تهاجمی برخی از سیاستمداران مرتبط با نفوذ عظیم صنعت موسیقی و فیلم تقویت می شود. متأسفانه، HP/Compaq حتی نتوانست نسخه بتا نرم افزار را در اختیار ما بگذارد، که به ما اجازه نمی دهد نگاه دقیق تری به پتانسیل TPM داشته باشیم.

    تا زمانی که محاسبات قابل اعتماد در شرکت ها به واقعیت تبدیل شود، اجزای دارای TPM در حالت غیرفعال قرار می گیرند. با انتشار ویندوز ویستا، بار دیگر به فناوری TPM باز خواهیم گشت و این بار از نزدیک.

    فیلسوفان گذشته دوست داشتند در مورد آزادی صحبت کنند. بنجامین فرانکلین گفت: «کسانی که مایلند آزادی خود را رها کنند تا در برابر خطر محافظت کوتاه مدتی داشته باشند، نه سزاوار آزادی هستند و نه امنیت. «کسی نمی تواند نه برده باشد و نه آزاد. ژان پل سارتر قاطعانه گفت: او یا آزاد است - یا اصلاً نیست. مارکسیست ها به نقل از بندیکت اسپینوزا می گویند: «آزادی یک ضرورت آگاهانه است».

    آزادی چیست؟ آیا برای انسان مهم است که آزاد باشد و آیا حاضر است آزادی را با امنیت معاوضه کند؟ مناسبتی که عموم مردم متوجه آن نشدند، باعث شد تا در مورد این موضوع فکر کنند. در تابستان امسال، کمیته فنی JTC1 رای به تصویب، به روش ساده شده توسط روش PAS، نسخه جدید استاندارد ISO / IEC 11889: 2015، که توسط کنسرسیوم Trusted Computing Group (TCG) ارائه شده بود، رای داد. شرکت های آمریکایی AMD، Cisco، HP، IBM، Intel، Microsoft و Wave Systems. و در 29 ژوئن در پورتلند، اورگان، TCG اعلام کرد که استاندارد ماژول پلتفرم مورد اعتماد (TPM) 2.0 در نهایت به عنوان یک استاندارد بین المللی تایید شد.

    مزایای TPM

    TPM نام مشخصاتی است که ماژول رمزنگاری را توصیف می کند که کلیدهای رمزنگاری را برای محافظت از اطلاعات ذخیره می کند. می توان ساده تر بیان کرد: این یک ماژول امنیت اطلاعات است که می تواند در سرورها، رایانه های شخصی، شبکه و دستگاه های تلفن همراه نصب شود. از تأیید از راه دور پشتیبانی می کند که سخت افزار و نرم افزار رایانه را به هم متصل می کند.

    این ماژول برای دارندگان حق چاپ مناسب است، زیرا به شما امکان می دهد مجوز نرم افزار را بررسی کنید، کپی غیرقانونی موسیقی، فیلم یا بازی های رایانه ای را کنترل کنید. این به طور منحصر به فرد رایانه را شناسایی می کند و به شما اجازه می دهد تا کاربر را احراز هویت کنید. در عین حال، TPM امکان تولید کلیدها را فراهم می کند، دارای عملکرد هش کردن، تولید اعداد تصادفی است.

    قابلیت‌های سخت‌افزار TPM از نظر قدرت بسیار محدود است و اجازه رمزگذاری مستقیم حجم زیادی از داده‌ها را با سرعت بالا نمی‌دهد. رمزگذاری انبوه فایل ها روی دیسک ها توسط برنامه Windows Bitlocker قابل انجام است. در عین حال، کلیدهای رمزنگاری مورد استفاده خود با استفاده از TPM رمزگذاری می شوند که امکان سرقت آنها را از بین می برد.

    بنابراین، TPM می‌تواند، همراه با Windows Bitlocker، یک دیسک را رمزگذاری کند، از داده‌ها در صورت گم شدن یا سرقت رایانه، نرم‌افزار در برابر تغییرات و آسیب ویروس‌ها، و همچنین برنامه‌های بانکی و پستی محافظت کند.

    ماژول قادر است صحت رایانه و حتی عملکرد آن را حتی قبل از دسترسی به شبکه تأیید کند. به طور کلی امنیت کاربران را به طور قابل توجهی افزایش می دهد، به ویژه آنهایی که دانش کمی از مسائل امنیت اطلاعات دارند و نمی توانند به تنهایی آنها را حل کنند.

    در واقع، TPM یک چیز مهم و مفید است. به طور قابل توجهی ایمنی کاربر را بهبود می بخشد. اما سوال قیمت امنیت مطرح می شود. اگر شخصی در خانه خود وب کم نصب کند، امنیت خانه خود را افزایش می دهد. او می تواند تمام مدت آپارتمان را از راه دور کنترل کند و در صورت مشاهده دزد با پلیس تماس بگیرد. اما اگر توانایی کنترل وب کم رهگیری شود، از یک دستگاه امنیتی می تواند به یک دستگاه نظارت تبدیل شود. اطلاعات جمع آوری شده در مورد یک شخص - به ترتیب، به وسیله ای برای کنترل و مدیریت. و آپارتمان او به یک سلول تبدیل می شود، اما به جای یک زندان.

    موقعیت آلمان

    نتیجه رای ISO/IEC JTC1 قابل پیش بینی بود. فقط آلمان رای مخالف داد. روسیه رای ممتنع داد، با این حال، رای "علیه" آن به هر حال هیچ تصمیمی نمی گرفت. اکثریت از موضع آمریکایی ها حمایت کردند. یک اقدام بی سابقه نیز کمکی نکرد - ارسال نامه ای بسته به اعضای کمیته از نمایندگان رسمی وزارت کشور فدرال و وزارت اقتصاد و انرژی فدرال آلمان با درخواست "دفن" پروژه. اطلاعات مربوط به این سند در مطبوعات آلمان به بیرون درز کرد و سر و صدای زیادی به پا کرد.

    در سطح ایالتی، وجود چنین نامه ای از سوی مقامات آلمانی تکذیب شد، اما در این مورد چه انتظار دیگری از مقامات رسمی می توان داشت. در متن نامه آلمانی که در اختیار ویراستاران قرار دارد و در صحت آن هیچ دلیلی برای تردید نداریم، نوشته شده است که «... مشخصات ارائه شده در پیش نویس استاندارد به اندازه کافی برای تصمیم گیری توسعه نیافته است. به طور خاص، در نتیجه بررسی دقیق موضوع، دلایلی داریم که باور کنیم اجرای آنها می تواند به طور قابل توجهی توانایی مدیریت سیستم ICT محافظت شده را مختل کند و همچنین به طور بالقوه منجر به شرایط مسدود شدن کامل سیستم شود که در منافع برخی از تولیدکنندگان تجهیزات کامپیوتری علاوه بر این، ما معتقدیم که تأثیر بالقوه مشخصات پیشنهادی بر سطح حریم خصوصی داده‌های شخصی و امنیت فناوری اطلاعات می‌تواند بسیار مشکل‌ساز باشد و می‌ترسیم که این با قوانین مربوطه آلمان در تضاد باشد.»

    در همان زمان، متخصصان امنیت اطلاعات آلمان اصولاً با TPM مخالفت نکردند. آنها از استاندارد قبلی TPM 1.2 راضی بودند که در آن کاربر کنترل کامل بر پلتفرم خود را حفظ می کرد. ماژول TPM به سادگی می تواند غیرفعال شود. در استاندارد TPM 2.0، این دیگر کار نخواهد کرد.

    علاوه بر این، آنها از رویکرد توسعه استاندارد که فقط شرکت های آمریکایی در آن شرکت داشتند می ترسیدند. روزنامه‌نگاران Zeit گزارش دادند که دولت آلمان تلاش کرد در توسعه TPM 2.0 شرکت کند، اما با آن مخالفت شد. آنها همچنین به همکاری فعال توسعه دهندگان استاندارد با NSA ایالات متحده و ارائه ارزیابی های امنیتی TPM 2.0 توسط کارشناسان مستقل اشاره کردند. این نشریه هشدار داد که TPM را می توان به عنوان یک درب پشتی در نظر گرفت و احتمال زیادی وجود دارد که NSA به کلیدهای رمزنگاری دسترسی داشته باشد.

    دریچه ها و پنجره ها

    کارشناسان اداره فدرال امنیت در فناوری اطلاعات آلمان (BSI) هشدار دادند که با انتقال به مشخصات TPM 2.0، این استاندارد برای همه دستگاه هایی که دارای ویندوز 8.1 و بالاتر هستند اجباری می شود و این عملکرد غیرفعال نمی شود.

    در واقع نمی توان رایانه ای با TPM 2.0 را دستگاهی دانست که تحت کنترل کامل کاربر است. نگرانی هایی مطرح شده است که ویندوز 8 با TPM 2.0 ممکن است به مایکروسافت اجازه دهد تا کامپیوتر را از راه دور از طریق درب پشتی داخلی کنترل کند.

    کارشناسان چینی نیز در مورد هشدار آلمان خوانده اند. آنها در مورد مشکل تحقیق کردند، جزئیات را کشف کردند و تصمیم گرفتند. در ماه می 2014، آژانس دولتی چین، شین هوا، ممنوعیت نصب ویندوز 8 بر روی رایانه های دولتی را اعلام کرد. و اینها به احتمال زیاد رایانه هایی هستند که نه تنها به دولت تعلق دارند، بلکه متعلق به ساختارهایی هستند که توسط دولت کنترل می شوند - بزرگترین بانک ها، شرکت ها در زمینه امنیت اطلاعات، مخابرات و همچنین سایر شرکت هایی که مایل به پیروی از توصیه ها هستند. از دولت آنها

    یکی دیگر از اسناد داخلی BSI که توسط یک نشریه آلمانی به دست آمده است، بیان می کند: "ویندوز 7 را می توان تا سال 2020 به صورت ایمن مدیریت کرد. پس از آن باید راه حل های دیگری برای مدیریت سیستم IT پیدا کرد." و در وب سایت BSI مستقیماً نوشته شده است که مکانیسم کار ویندوز 8 با TPM 2.0 "می تواند برای خرابکاری توسط اشخاص ثالث استفاده شود" و کارشناسان استفاده از نسخه جدید TPM را برای سازمان های دولتی و زیرساخت های حیاتی غیرقابل قبول می دانند. بنابراین به نظر می رسد آلمانی ها و چینی ها برای ارتقای ویندوز 7 در بخش عمومی حتی به ویندوز 8 عجله ای نخواهند داشت.

    موضع روسیه

    برای اطلاع از موقعیت روسیه، ما به کارشناسان - اعضای کمیته فنی ISO / IEC JTC1، شرکت های روسی Aquarius و Craftway و مایکروسافت با درخواست اظهار نظر در مورد جدیت نگرانی های آلمان و چین در مورد استاندارد جدید مراجعه کردیم.

    متأسفانه کارشناسان یا به سؤالات ما توجهی نکردند یا گفتند که از پاسخگویی خودداری می کنند. تنها متخصصی که با مصاحبه موافقت کرد، یک کارشناس مستقل در زمینه امنیت سایبری در سیستم‌های کنترل خودکار بود وادیم پودلنی.

    TPM خوب و خطرناک چیست؟

    TPM، خواه رایج‌ترین TPM 1.2 باشد یا TPM 2.0 آینده، یک استاندارد فناوری است که توسط شرکت‌های بزرگ ایالات متحده ترویج می‌شود. در واقع TPM یک ماژول مجزا است که در کامپیوترها ادغام شده است.

    در حال حاضر، علاوه بر رایانه های شخصی، سرورها، پایانه ها، روترهای شبکه، ما بسیاری از اجزای جدید متصل به شبکه را داریم. اینها کنترل‌کننده‌هایی برای اتوماسیون صنعتی، دستگاه‌های اینترنت اشیا، دستگاه‌هایی هستند که مسئول سلامت انسان هستند - ضربان‌سنج‌ها، گلوکومترهایی که در ساعت‌ها تعبیه شده‌اند... به دلیل مداخله یک هکر، آنها می‌توانند به اشتباه کار کنند یا برعکس، به طور کاذب کار نکنند. ماژول های اعتماد TPM ها یک کار مهم را انجام می دهند - اعتماد به داده ها، اعتماد به سیستم، تایید درست کار کردن آن.

    ایده TPM درست است. باید ماژول های استانداردی وجود داشته باشد که ارتباط قانونی اطلاعات را تضمین کند. مفهوم خود به شرح زیر است: ساخت ماژولی که ساخت آن برای هکرها دشوار است و فقط یک ایالت بزرگ می تواند انجام دهد. این مانند یک اسکناس است، به عنوان روشی برای محافظت از پول. عیبی ندارد.

    سوال متفاوت است. ویندوز 7 دارای نماد "رایانه من" بود. در ویندوز 10، این رایانه شخصی نامیده می شود. این دیگر کامپیوتر شما نیست. ما مجبور به استفاده از فناوری‌هایی هستیم که ما را ایمن نگه می‌دارند، چه بخواهیم چه نخواهیم. به نظر می رسد که دولت قانون خشک وضع می کند و می گوید که اکنون مست نمی شوید، زیرا جامعه به سربازان سالم نیاز دارد. پس اینجا هم

    اگر کامپیوتر شما ربوده شود، پس کسی به آن برای چیزی نیاز دارد. شاید برای دنبال کردنت اگر نمی توانید این عملکرد را غیرفعال کنید، پس این یک راه حل نیست. وسیله ای منفعل برای حمله است. جمع آوری اطلاعات جستجوی نقطه ای برای حمله است. مایکروسافت با پول خودتان کامپیوتر شما را از شما می گیرد. سیستم عامل خود را به شما می فروشد و کنترل را از شما می گیرد.

    آیا می توان بررسی کرد که آیا درب پشتی در ماژول TPM وجود دارد یا خیر؟

    شما می توانید استاندارد را تجزیه و تحلیل کنید. اما وقتی کامپیوتری با یک ماژول TPM لحیم شده به مادربردش می رسد که توسط یک مرکز کنترل شما ساخته نشده است، نمی دانید داخل آن چیست. هر چیزی را می توان در آنجا اضافه کرد.

    اما شما می توانید یک نشانک به هر پردازنده یا کنترلی اضافه کنید؟

    بله حتما. و رویکرد باید یکسان باشد. در سیستم‌های نظامی، تنظیم‌کننده‌ها هرگز اجازه استفاده از تراشه‌های ساخته شده توسط شخص ناشناس را نمی‌دهند، حتی اگر طبق یک استاندارد باز باشد. بنابراین، ما پردازنده های Baikal و Elbrus را داریم. نیروهای مهندسی روسیه برای طراحی TPM خود کافی هستند. در حالی که ما نمی توانیم آن را در کارخانه هایمان بسازیم. همانطور که پردازنده است. اما ما می‌توانیم طراحی کنیم، و سپس بررسی کنیم که آیا آن‌ها این کار را به روشی که ما نیاز داشتیم انجام داده‌اند یا چیزی در آنجا اضافه کرده‌اند. چنین مکانیزمی قبلاً اجازه استفاده از TPM را می دهد.

    و الان که TPM خودمون رو نداریم چیکار کنیم؟

    آنالوگ های TPM مورد استفاده در همه جا، از بسیاری جهات نقش خود را ایفا می کنند، ماژول های سخت افزاری قابل اعتماد بوت هستند. آنها حتی در حال حاضر، زمانی که TPM ها روی مادربردها ظاهر شدند، استفاده می شوند.

    همچنین امکان تغییر BIOS وجود داشت، فناوری UEFI ظاهر شد، استانداردی که به شما امکان می دهد ماژول های بوت مورد اعتماد را به صورت برنامه ریزی شده ایجاد کنید. در واقع، آنها می توانند برنامه هایی را در خود جای دهند که کار TPM را که در بسیاری از پیشرفت ها انجام می شود، تقلید می کنند. به عنوان مثال، در سیستم عامل seOS، تایید شده توسط FSB.

    در مورد ماژول TPM روسیه چطور؟

    ما هنوز در روسیه شرکت هایی داریم که برای پروژه های خود مادربرد سفارش می دهند. به عنوان مثال، Aquarius، Kraftway، T-Platforms، MCST و دیگران. هر کدام از آنها کاملاً قادر به طراحی ماژول TPM خود هستند. و مطمئناً در آینده نزدیک با پشتیبانی از الگوریتم های رمزنگاری GOST داخلی ایجاد خواهد شد. و این نه تنها برای شرکت های دفاعی، بلکه برای طیف گسترده ای از مصرف کنندگان که ملزم به رعایت مفاد قانون 152-FZ "در مورد داده های شخصی" هستند نیز مهم است.

    و چرا آلمانی ها به شدت با استاندارد TPM 2.0 مخالف بودند؟

    بسیار ساده. آنها می خواهند از داده ها و فناوری خود در برابر ایالات متحده محافظت کنند. یادتان هست SUSE Linux چگونه متولد شد؟ این اتفاق پس از آن افتاد که معلوم شد هنگام انتقال اسناد از یک بخش بوندسوهر به دیگری، اطلاعات ابتدا به NSA ختم می شود. سپس SUSE Linux در آلمان ایجاد شد و بخش به کار با این سیستم عامل منتقل شد.

    لینوکس همچنین پشتیبانی از TPM 2.0 را از زمان هسته 3.2 اعلام کرده است. اما می توان آن را خاموش کرد. و در ویندوز شما نمی توانید از هشت بالاتر بروید. ویندوز یک سیستم عامل بسیار کاربر پسند است. او به طرز شگفت انگیزی فکر کرده است. ده ها هزار برنامه نویس در تلاش هستند تا اطمینان حاصل کنند که کاربران راحت و راحت هستند. اما هر تغییری که به زور تحمیل شود و بگویند برای امنیت شماست، آزاردهنده است. و متخصصان و مسئولان و دولت.

    برای اینکه از TPM نترسید، باید تحقیقات خاصی انجام دهید، بررسی کنید و متوجه شوید که آیا چیزی خطرناک در آنجا وجود دارد یا خیر. این روش کاملا استاندارد است. گاهی اوقات با بازدید از تولید انجام می شود. وقتی نمایندگان کشور به کشور سازنده می آیند و مدتی در تولید می نشینند و فرآیندها را درک می کنند این یک رویه عادی است.

    و چه کسی آن را انجام خواهد داد؟

    این ممکن است برای شرکت های تجاری بزرگ جالب باشد. من فکر می کنم برخی از کارهای تحقیقاتی در این قالب در حال حاضر در حال انجام است. و دولت فوراً به این موضوع علاقه ندارد، زیرا رمزنگاری ما در آنجا وجود ندارد، بنابراین، ماژول های موجود برای صنایع دفاعی مناسب نیستند.

    آیا امکان استفاده از کامپیوتر با TPM در سازمان های دولتی وجود دارد؟

    موضوع استفاده از TPM در سازمان های دولتی بسیار پیچیده است. من فکر می کنم که در نسخه های بعدی TPM امکان جایگزینی الگوریتم های رمزنگاری وجود خواهد داشت. اکنون می توانید دوباره بایوس را فلش کنید و اجزای خود را اضافه کنید. بنابراین در TPM خواهد بود. در مورد استفاده فعلی در بخش عمومی، هنوز زود است که در مورد آن صحبت کنیم. اما شما باید امکان اجرای استاندارد را خودتان مطالعه کنید. و همچنین لازم است در توسعه نسخه بعدی آن شرکت کنید. تا بتوانیم رمزنگاری خود را در TPM شخص دیگری جاسازی کنیم.

    ... به طور کلی، موقعیت قابل درک است. TPM سطح جدیدی در امنیت است. دولت به نوعی در صنعت دفاعی مشکل را حل می کند و بقیه از آنچه دارند استفاده می کنند. در بیشتر موارد، TPM در برابر هکرهای وحشی محافظت می کند (در موارد محافظتی که TPM ارائه می دهد)، اما هنوز نمی توانید از توجه برادر بزرگ دور شوید.

    خود کنسرسیوم که به عنوان یک پروژه کاملاً آمریکایی شروع شد، در حال گسترش است. TCG در حال حاضر 11 عضو Promoter (AMD، Cisco، Fujitsu، HP، IBM، Infenion، Intel، Juniper، Lenovo، Microsoft و Wave Systems) و 74 عضو Contributor دارد. شرکت های ژاپنی و چینی در این لیست ها ظاهر شدند. اما هنوز هیچ نماینده ای از روسیه در آنجا وجود ندارد.

    آزادی یا امنیت؟ دوران اگزیستانسیالیست‌های سارتر و کامو که «راه‌های آزادی» را برگزیدند و انسان آزاد را در آستانه «هیچ» بررسی کردند، با قرن گذشته گذشته است. اکثر مردم امنیت را انتخاب کردند. و اکنون فقط در مورد طول افسار بحث می کند. بنابراین برای کاربر انبوه، مشکل TPM وجود ندارد. اما دولت نباید نسبت به این مسئله بی تفاوت باشد که ساختارهای دولتی آن در بند کیست. و شهروندانش هم همینطور.

    ماژول پلتفرم قابل اعتماد یا TPM (ماژول پلتفرم مورد اعتماد)، یک ریزتراشه جداگانه روی مادربرد رایانه است که مجموعه خاصی از وظایف مربوط به رمزنگاری و امنیت رایانه را انجام می دهد.

    به عنوان مثال، با استفاده از پردازنده رمزنگاری TPM، می توانید هارد دیسک رایانه خود را رمزگذاری کنید. البته CPU نیز می تواند این کار را انجام دهد، اما پس از آن باید وظایف بیشتری را انجام دهد و سرعت رمزگذاری و رمزگشایی بسیار کمتر خواهد شد. رمزگذاری مبتنی بر سخت افزار در TPM عملاً بدون افت عملکرد انجام می شود.

    رمزگشایی گاهی اوقات به اشتباه به عنوان رمزگشایی نامیده می شود. تفاوت بین آنها در این است که وقتی رمزگشایی می کنید، الگوریتم و کلید مخفی را می شناسید که داده ها را رمزگذاری می کند، اما وقتی رمزگشایی می کنید، نمی دانید.

    همچنین، TPM می تواند از اعتبارنامه ها محافظت کند و برنامه های در حال اجرا روی سیستم را بررسی کند. از عفونت با روت کیت ها و بوت کیت ها (انواع برنامه های مخربی که قبل از بارگیری سیستم عامل وارد رایانه می شوند یا حضور خود را در سیستم پنهان می کنند و بنابراین توسط سیستم قابل شناسایی نیستند) جلوگیری می کند، اطمینان حاصل می کند که پیکربندی رایانه بدون اطلاع کاربر تغییر نمی کند. .

    علاوه بر این، هر ماژول رمزنگاری TPM دارای یک شناسه منحصر به فرد است که مستقیماً روی تراشه نوشته می شود و قابل تغییر نیست. بنابراین، رمزارز را می توان برای احراز هویت در هنگام دسترسی به شبکه یا هر برنامه کاربردی استفاده کرد.

    TPM می تواند کلیدهای رمزگذاری قوی را در صورت نیاز سیستم عامل (OS) ایجاد کند.

    اما قبل از اینکه بتوانید از ماژول TPM استفاده کنید، باید آن را پیکربندی کنید. راه اندازی ماژول به چند مرحله ساده ختم می شود.

    • ابتدا تراشه باید در بایوس کامپیوتر فعال شود (اگر فعال نشده باشد).
    • در مرحله دوم، شما باید در سطح سیستم عامل مالک آن شوید.

    بیایید این مراحل را با جزئیات بیشتری بررسی کنیم.

    1 فعال کردن TPMدر بایوس کامپیوتر

    برای فعال کردن ماژول به بایوس رفته و به قسمت مربوط به امنیت بروید. اگرچه BIOS می تواند از رایانه ای به رایانه دیگر بسیار متفاوت باشد، بخش تنظیمات امنیتی معمولاً «امنیت» نامیده می شود. در این قسمت باید گزینه ای به نام «تراشه امنیتی» وجود داشته باشد.

    یک ماژول می تواند در سه حالت باشد:

    • خاموش (غیرفعال).
    • فعال و استفاده نشده (غیر فعال).
    • فعال و فعال (فعال).

    در حالت اول در سیستم عامل قابل مشاهده نخواهد بود، در حالت دوم قابل مشاهده خواهد بود اما سیستم از آن استفاده نمی کند و در حالت سوم تراشه قابل مشاهده است و توسط سیستم استفاده خواهد شد. وضعیت را روی "فعال" تنظیم کنید.

    همانجا در تنظیمات می توانید کلیدهای قدیمی تولید شده توسط تراشه را پاک کنید.


    برای مثال، اگر می‌خواهید رایانه خود را بفروشید، پاک کردن TPM می‌تواند مفید باشد. لطفاً توجه داشته باشید که با پاک کردن کلیدها، نمی توانید اطلاعات رمزگذاری شده توسط این کلیدها را بازیابی کنید (مگر اینکه هارد دیسک خود را رمزگذاری کنید).

    اکنون تغییرات خود را ذخیره کنید ("ذخیره و خروج" یا F10 را فشار دهید) و کامپیوتر خود را مجددا راه اندازی کنید.

    پس از بوت شدن کامپیوتر، مدیر دستگاه را باز کنید و مطمئن شوید که ماژول مورد اعتماد در لیست دستگاه ها ظاهر می شود. باید در قسمت دستگاه های امنیتی باشد.

    2 راه اندازی TPMروی ویندوز

    باقی مانده است که تراشه در سیستم عامل مقداردهی اولیه شود. برای انجام این کار، Snap-in مدیریت TPM را باز کنید. دکمه ها را فشار دهید ویندوز + R(پنجره "Run" باز می شود)، tpm.msc را در قسمت ورودی وارد کرده و "Enter" را فشار دهید. اسنپ ​​شروع خواهد شد "مدیریت ماژول پلت فرم مورد اعتماد (TPM) در رایانه محلی".

    در اینجا، اتفاقا، می توانید اطلاعات اضافی را بخوانید - TPM چیست، زمانی که باید روشن و خاموش شود، رمز عبور را تغییر دهید و غیره. یک سری مقالات خوب در مورد TPM در وب سایت مایکروسافت وجود دارد.

    در سمت راست Snap-in منوی اکشن قرار دارد. روی "Initialize TPM..." کلیک کنید. اگر این ویژگی فعال نیست، تراشه شما قبلاً مقداردهی اولیه شده است. اگر توسط شما مقداردهی اولیه نشده است و رمز عبور مالک را نمی دانید، توصیه می شود حافظه ماژول را بازنشانی و پاک کنید، همانطور که در پاراگراف قبلی توضیح داده شد.


    هنگامی که TPM Initialization Wizard شروع می شود، از شما می خواهد که یک رمز عبور ایجاد کنید. گزینه "Automatically create password" را انتخاب کنید.


    برنامه اولیه سازی TPM یک رمز عبور ایجاد می کند. آن را به عنوان یک فایل ذخیره کنید یا آن را چاپ کنید. حالا روی دکمه "Initialize" کلیک کنید و کمی صبر کنید.


    پس از تکمیل، برنامه مقدار اولیه موفقیت آمیز ماژول را گزارش خواهد کرد. پس از تکمیل اولیه، تمام اقدامات بعدی با ماژول - خاموش کردن، تمیز کردن، بازیابی اطلاعات در صورت خرابی، تنظیم مجدد قفل - فقط با رمز عبوری که به تازگی دریافت کرده اید امکان پذیر خواهد بود.


    اکنون عملیات اولیه غیرفعال شده است، اما می توان TPM را غیرفعال کرد، رمز عبور مالک را تغییر داد و در صورت وقوع این اتفاق، قفل ماژول را بازنشانی کرد (ماژول برای جلوگیری از کلاهبرداری یا حمله خود را قفل می کند).


    در واقع، اینجا جایی است که قابلیت های مدیریتی ماژول TPM به پایان می رسد. تمام عملیات های بعدی که به توانایی تراشه نیاز دارند به طور خودکار رخ می دهند - به طور شفاف برای سیستم عامل و به طور نامحسوس برای شما. همه اینها باید در نرم افزار پیاده سازی شود. سیستم عامل های جدیدتر، مانند ویندوز 8 و ویندوز 10، از قابلیت های TPM بیشتر از سیستم عامل های قدیمی استفاده می کنند.

    Hellovichik به همه امروز در مورد ماژول پلتفرم مورد اعتماد صحبت خواهیم کرد، متوجه خواهیم شد که این یک بازی است. کمی دشوار است، اما متوجه شدم که ماژول پلتفرم مورد اعتماد (TPM) ماژولی است که روی مادربرد قرار دارد و کلیدهای رمزنگاری را برای محافظت از اطلاعات ذخیره می کند. نسخه 1.0 و پیشرفته تر مدرن 2.0 وجود دارد

    TPM 1.2 نیز وجود دارد که در 3 مارس 2011 منتشر شد. یعنی می‌توانیم نتیجه بگیریم که این فناوری چندان جدید نیست، اما، همانطور که بود، برای مدت طولانی وجود داشته است.

    همانطور که می‌دانم، ماژول پلتفرم مورد اعتماد در الگوریتم‌های رمزگذاری استفاده می‌شود و آنها را حتی امن‌تر می‌کند.

    ترفند این است که ماژول TPM می تواند به رمزگذاری و رمزگشایی کمک کند. اما برای رمزگشایی به کلیدهای رمزنگاری نیاز دارید. و این کلیدها در خود تراشه ذخیره می شوند. این چنین فناوری پیچیده ای است.

    آها! چیز دیگری وجود دارد - ماژول نه تنها قادر است این کلیدها را ایجاد کند، بلکه آنها را به تجهیزات متصل کند. آیا می فهمی؟ و فقط در صورتی می توانید رمزگشایی کنید که پیکربندی رایانه ای که در حین رمزگذاری بوده با پیکربندی فعلی مطابقت داشته باشد.. به طور خلاصه، به طور جدی

    این تراشه همچنین در فناوری رمزگذاری درایو BitLocker (رمزگذاری محتویات درایوهای رایانه شخصی) شرکت می کند.

    در اینجا یک عکس عجیب پیدا کردم.. TPM در اینجا ذکر شده است، اما درک اینکه اجاق گاز چه ربطی به آن دارد دشوار است:


    همه اینها به چه معناست و چه کسی پشت آن است؟

    ظاهر تراشه

    در اینجا اعلیحضرت خود تراشه TPM است (به طور جداگانه، نه روی مادربرد):

    هوم، من نمی دانم آیا امکان خرید یک دستگاه جدید و جایگزینی وجود دارد؟ خوب، به عنوان مثال، اگر قدیمی در آنجا خراب شد، سوخت ... و با نگاه کردن به این تصویر، به نظر می رسد که هنوز هم می توانید خرید کنید:


    خوب چه می توانم بگویم؟ به طور کلی جالب است، اما اگر یک تراشه جدید بخرید، آیا امکان رمزگشایی داده هایی که با تراشه قدیمی رمزگذاری شده اند وجود دارد؟ و حالا این یک سوال غیرواقعی جدی است!

    این تراشه واقعی روی مادربرد است:


    با قضاوت بر اساس ظاهر و طراحی، جایگزین کردن آن در خانه، به اصطلاح، واقع بینانه است

    گزینه در BIOS TPM Device

    خوب، در اینجا گزینه Trusted Platform Module در خود بایوس وجود دارد - می توانید (فعال) یا غیرفعال (غیرفعال) کنید:


    شاید نام و TPM Device یا .. TPM Embedded Security (ببخشید آقایان با کیفیت):


    همچنین ممکن است یک گزینه سوئیچ گسسته TPM FW در BIOS (بخش امنیت) وجود داشته باشد:


    من متوجه شدم که سوئیچ گسسته TPM FW یک کنترل تراشه گسسته است. گسسته، یعنی این همان تراشه ای است که به اصطلاح می توان آن را تغییر داد، حذف کرد. سپس این فکر به ذهنم خطور کرد که آیا دو تراشه TPM روی مادربرد وجود دارد؟ یکپارچه و گسسته؟ و اکنون آنها در بایوس مدیریت می شوند.. خلاصه نمی دانم..

    مثال دیگر گزینه های عملیات TPM SUPPORT، TPM State، Pending TPM است:


    نتیجه گیری - گزینه ها به مادربرد بستگی دارد. اگر تراشه TPM در BIOS فعال باشد، چنین دستگاهی را در Device Manager (برای شروع - Win + R > devmgmt.msc) در بخش Security devices خواهید داشت:

    همانطور که می بینید، نسخه مقابل دستگاه نشان داده شده است - تصویر بالا 1.2 قدیمی است و ممکن است نسخه 2.0 مدرن داشته باشید (بسته به سال ساخت مادربرد). بله، پا! اگر نسخه تراشه قدیمی است، آیا امکان جایگزینی تراشه قدیمی با تراشه جدید وجود دارد؟ فقط افکار، اما من فکر می کنم که جایگزینی کاملا واقعی است..

    همچنین در بخش دستگاه های سیستم ممکن است یک ماژول پلتفرم مورد اعتماد Infineon وجود داشته باشد:

    برخی از نتیجه گیری ها و افکار من در مورد ماژول پلت فرم مورد اعتماد

    هر چیزی که در موردش فکر کنم برای همه می نویسم، باشه؟ دیدن:

    تنظیمات ماژول پلت فرم مورد اعتماد

    کاملاً تصادفی فهمیدم که معلوم شد ویندوز تنظیمات Trusted Platform Module را دارد وگرنه من حتی نمی دانستم! چگونه تنظیمات را باز کنیم؟ دکمه های Win + R را نگه دارید، سپس دستور را وارد کنید:


    من آن را باز کردم و اینجاست که می گوید TPM سازگار پیدا نمی کنم:


    اینم یه پنکیک، یه پاپادوس بتونی، من همین الان فکر کردم که ماژول.. نه، خب، احتمالا ماژول دارم! اما به نظر نمی رسد که در بایوس فعال باشد. خوب، باشه .. و به جای خود نگاه می کنی، آنجا چه خواهی داشت؟ خوب، تنظیمات خواهد بود؟ ببین، باشه؟

    و با این حال - در تنظیمات می توانید داده های TPM را پاک کنید. امیدوارم متوجه شده باشید که اگر در این مورد کاوش نکنید، این ضروری نیست. برو ببین چه نوع داده ای وجود داره یا ممکن است چیزی رمزگذاری شده روی رایانه شخصی خود داشته باشید، و اگر داده ها را پاک کنید، بعداً نمی توانید آن را رمزگشایی کنید. در اصل من به شما هشدار دادم.

    برای عملکرد عادی TPM، باید یک به روز رسانی ویژه در ویندوز نصب شود. به نظر می رسد به طور خودکار نصب می شود. و اگر نه، پس باید از وب سایت سازنده مادربرد خود دانلود کنید. در اینجا فقط با به روز رسانی، همانطور که من متوجه شدم، منظور ما درایور TPM است، زیرا ویندوز و هیزم را می توان نصب کرد، آنها را از اینترنت بیرون کشید.

    همین. موفق باشید و صبر، تا زمانی که دوباره آقایان را ملاقات کنیم!

    04.11.2018
    بیشتر بخوانید: