Trm-kontakt Trusted Platform Module (TPM)-konseptet: et første praktisk utseende

Denne gjennomgangen gir de nødvendige instruksjonene for bruk av Trusted Platform Module (TPM)-tjenester i et testmiljø.

Hva er TPM-tjenester?

TPM-tjenester er et sett med nye funksjoner tilgjengelig i Microsoft®Windows Vista™ og Windows Server® "Longhorn". Disse tjenestene brukes til å administrere TPM, som gir sikkerhet for datamaskinen din. TPM-tjenestearkitekturen gir et rammeverk for interoperabilitet med maskinvaresikkerhet ved å dele TPM på applikasjonsnivå.

Hva er en TPM-modul?

En Trusted Platform Module (TPM) er en brikke designet for å implementere kjernesikkerhetsrelaterte funksjoner, først og fremst gjennom bruk av krypteringsnøkler. TPM-modulen er vanligvis installert på hovedkortet til en stasjonær eller bærbar datamaskin og kommuniserer med resten av systemkomponentene via systembussen.

Datamaskiner utstyrt med en TPM har muligheten til å lage kryptografiske nøkler og kryptere dem på en slik måte at de bare kan dekrypteres av TPM. Denne prosessen, ofte kalt å "pakke inn" en nøkkel eller "binde" en nøkkel, bidrar til å beskytte nøkkelen mot avsløring. Hver TPM har en hovednøkkel, kalt Storage Root Key (SRK), som er lagret i selve TPM. Den private delen av nøkkelen opprettet i TPM vil aldri være tilgjengelig for noen annen systemkomponent, programvare, prosess eller bruker.

Datamaskiner utstyrt med en TPM kan også lage nøkler som ikke bare er kryptert, men også knyttet til en spesifikk systemkonfigurasjon. Denne typen nøkkel kan bare dekrypteres hvis egenskapene til plattformen de prøver å dekryptere den på samsvarer med den som denne nøkkelen ble opprettet på. Denne prosessen kalles å "forsegle" nøkkelen i TPM. Dekryptering av det kalles "unsealing". TPM-en kan også skrive ut og skrive ut data som er opprettet utenfor TPM-en. Ved å bruke en forseglet nøkkel og programvare som BitLocker™ Drive Encryption, kan du sikre at data er låst til de kan overføres til en datamaskin med riktig maskinvare- eller programvarekonfigurasjon.

Når du bruker en TPM, lagres den private delen av nøkkelparene utenfor minnet, som operativsystemet har tilgang til. Nøkler kan forsegles av TPM, med en nøyaktig avgjørelse om hvorvidt systemet er sikkert tatt før nøklene skrives ut og klare til bruk. Fordi TPM bruker sin egen fastvare og logikk for å behandle instruksjoner, er driften uavhengig av operativsystemet. Takket være dette er den beskyttet mot mulige sårbarheter ved ekstern programvare.

Hvem er denne veiledningen ment for?

Denne håndboken er beregnet på:

IT-spesialister involvert i planlegging og analyse av informasjonsinfrastruktur, evaluerer funksjonaliteten til produktet.
Spesialister involvert i tidlig implementering av produktet.
Sikkerhetsarkitekter som er ansvarlige for å implementere det pålitelige datakonseptet.

I denne veiledningen

Krav for bruk av TPM-tjenester

Vi anbefaler at du først utfører alle trinnene beskrevet i denne veiledningen i et testmiljø. Denne håndboken bør betraktes som et eget dokument. Den skal ikke betraktes som en omfattende veiledning for distribusjon av spesifikke Windows Vista- eller Windows Server "Longhorn"-funksjoner, og den skal heller ikke brukes uten referanse til den medfølgende dokumentasjonen i .

Forbered et testmiljø for å utforske hvordan TPM-tjenester fungerer

For å studere TPM-tjenester trenger du et testmiljø, som består av en datamaskin koblet til et isolert nettverk gjennom en konvensjonell hub eller lag 2-svitsj. Datamaskinen må kjøre Windows Vista-operativsystemet og ha en kompatibel TPM (versjon 1.2) og en BIOS som oppfyller TCG-spesifikasjonen (Trusted Computing Group). Det anbefales også å bruke en bærbar USB-lagringsenhet. Når du setter opp et nettverk for et testmiljø, bør du bruke et privat IP-adresseområde.

Vanlige brukstilfeller for TPM-tjenester

Denne veiledningen dekker følgende scenarier for bruk av TPM-tjenester:

Note

De tre scenariene som presenteres i denne veiledningen er utformet for å hjelpe administratoren med å forstå egenskapene som tilbys av TPM-tjenester i Windows Vista. Disse skriptene gir den grunnleggende informasjonen og prosedyrene som er nødvendige for å gjøre det mulig for administratorer å starte prosessen med å konfigurere og distribuere TPM-utstyrte datamaskiner på nettverkene deres. Informasjonen og prosedyrene som kreves for ytterligere eller avansert konfigurasjon av TPM-tjenester er ikke inkludert i denne veiledningen.

Scenario 1: TPM-initialisering

Dette skriptet beskriver prosedyren for initialisering av TPM på en datamaskin. Initialiseringsprosessen innebærer å aktivere TPM og tildele eieren. Dette skriptet er skrevet for lokale administratorer som er ansvarlige for å konfigurere datamaskiner utstyrt med en TPM-modul.

Selv om Windows Vista støtter ekstern initialisering av TPM, krever denne operasjonen vanligvis at en administrator er fysisk tilstede på datamaskinen. Hvis datamaskinen ble levert med TPM-modulen allerede initialisert, er personlig tilstedeværelse ikke nødvendig. Informasjon om ekstern klargjøring og prosedyrene som kreves for å gjøre det, er ikke inkludert i denne håndboken. TPM-tjenester bruker en WMI-klasse som lar deg utføre prosedyrene beskrevet i denne delen ved hjelp av skript. Informasjon om å skrive skript for å utføre disse oppgavene er heller ikke inkludert i denne veiledningen.

Trinn for å initialisere TPM

For å initialisere TPM-modulen som er installert på datamaskinen din, må du fullføre følgende trinn:

Trinn 1: Initialiser TPM

For at TPM skal beskytte datamaskinen din, må den først initialiseres. Denne delen beskriver hvordan du initialiserer TPM installert på datamaskinen.

Windows Vista-kompatible datamaskiner har funksjonalitet innebygd i BIOS som gjør det enkelt å initialisere TPM ved hjelp av TPM Initialization Wizard. Når du kjører veiviseren for TPM-initialisering, kan du finne ut om TPM-en som er installert på datamaskinen, er initialisert eller ikke.

Følgende prosedyre vil lede deg gjennom trinnene for å initialisere en TPM ved hjelp av TPM-initialiseringsveiviseren.

Note
For å utføre prosedyren beskrevet nedenfor, må du være logget på datamaskinen utstyrt med TPM-modulen med administratorrettigheter.

Følg disse trinnene for å kjøre TPM-initialiseringsveiviseren og initialisere TPM:

På menyen Start velg element Alle programmer, da Standard, hvoretter Henrette.

Gå tpm.msc i feltet Åpne, og trykk deretter på tasten Gå.

Fortsette "Ytterligere informasjonskilder"

Konsollen vil vises Administrere Trusted Platform Module (TPM) på den lokale datamaskinen.

På menyen Handling velge lag Initialiser TPM . Dette vil starte TPM Initialization Wizard.

Klikk på knappen Start datamaskinen på nytt, og følg deretter instruksjonene på skjermen fra BIOS.
Note. Meldingene som vises av BIOS og de nødvendige brukerhandlingene kan variere avhengig av maskinvareprodusenten.

Etter omstart vil det vises et varsel på skjermen, som krever brukerens personlige tilstedeværelse for å svare på. Dette sikrer at TPM blir forsøkt initialisert av brukeren og ikke av skadelig programvare.

Klikk Forbered modul automatisk TPM for å tildele eier (anbefalt).

Trinn 2: TPM Owner Assignment

Før en TPM kan brukes til å sikre datamaskinen din, må du tilordne en eier til TPM. Når du tildeler en TPM-moduleier, må du oppgi et passord. Passordet sikrer at bare den autoriserte eieren av TPM kan få tilgang til og betjene den. Passordet brukes også til å deaktivere TPM hvis du ikke lenger vil bruke det, og for å fjerne TPM hvis datamaskinen blir kastet.

Følgende prosedyre vil tillate deg å bli eier av TPM-modulen.

Trinnene nedenfor vil veilede deg gjennom å tildele en TPM-eier ved hjelp av TPM-initialiseringsveiviseren.

Note

Følg disse trinnene for å tilordne en TPM-eier:

Oppmerksomhet. Ikke mist passordet ditt. Hvis du mister passordet ditt, vil du ikke kunne gjøre noen administrative endringer før du sletter TPM.

Scenario 2: Slå av og fjern TPM

Dette scenariet tar for seg to vanlige oppgaver som administratorer vil møte når de rekonfigurerer eller kaster en datamaskin utstyrt med en TPM. Disse oppgavene er å slå av TPM og rense den.

Slår av TPM

Noen administratorer kan bestemme at ikke alle datamaskiner på nettverket som er utstyrt med en TPM-modul trenger den ekstra beskyttelsen som denne modulen gir. I denne situasjonen anbefaler vi at du sørger for at TPM-ene på de berørte datamaskinene er deaktivert. Prosedyren nedenfor vil lede deg gjennom hele prosessen med å slå av TPM.

Note
En administrator trenger ikke å være personlig tilstede for å deaktivere TPM.

For å utføre prosedyren beskrevet nedenfor, må du være logget på datamaskinen utstyrt med TPM-modulen med lokale administratorrettigheter.

Følg disse trinnene for å slå av TPM:

På menyen Startvelge avsnitt Alle programmer, da Standard, hvoretter Henrette.

Gå tpm.msc i feltet Åpne og trykk på tasten Gå. Konsollen vil vises

På menyen Handlinger velge lag Deaktiver TPM.

I dialogboksen Slå av sikkerhetsmaskinvaren for TPMDu ta metoden for å skrive inn passordet og slå av TPM-modulen:

Hvis du har flyttbare medier som du tidligere har lagret TPM-eierpassordet på, setter du det inn i leseren og trykker på. Klikk på i dialogboksen Gjennomgå, Åpne, og trykk deretter på knappen.

Skriv inn passordet ditt (inkludert bindestreker) og klikk på knappen Deaktiver TPM.

Ingen TPM-eierpassord og følg instruksjonene for å slå av TPM uten å angi et passord.

Note.Å slå av TPM uten å angi TPM-eierpassordet og utføre et begrenset antall administrative oppgaver krever at en administrator er tilstede på datamaskinen.

TPM-statusen vises i Tilstand TPM-administrasjonskonsoll.

Rengjøring av TPM

Fjerning av TPM fjerner eierskapet til TPM og deaktiverer TPM. Denne handlingen må utføres hvis en datamaskin utstyrt med en TPM-modul må kasseres, eller hvis TPM-eierpassordet går tapt. Prosedyren nedenfor vil guide deg gjennom hele prosessen med å rengjøre TPM.

Note
En administrator trenger ikke å være personlig tilstede for å rense TPM.

For å utføre prosedyren beskrevet nedenfor, må du være logget på datamaskinen utstyrt med TPM-modulen med lokale administratorrettigheter.

Følg disse trinnene for å rengjøre TPM:

På menyen Startvelg element Alle programmer, da Standard, hvoretter Henrette.

Gå tpm.msc i feltet Åpne og trykk på tasten Gå. Konsollen vil vises Administrer Trusted Platform Module (TPM) på den lokale datamaskinen.

Hvis en dialogboks vises Brukerkontokontroll, sørg for at den foreslåtte handlingen samsvarer med det du ba om, og klikk deretter på knappen Fortsette. For mer informasjon, se avsnittet "Ytterligere informasjonskilder" plassert på slutten av dette dokumentet.
Oppmerksomhet. Sletting av TPM vil tilbakestille alle innstillinger til fabrikkinnstillinger og vil deaktivere TPM. I dette tilfellet vil du miste alle de opprettede nøklene, så vel som dataene som ble beskyttet av disse nøklene.

På menyen Handlinger velge lag Klar TPM. Hvis TPM er deaktivert, følg prosedyren i avsnittet "Trinn 1. Initialiser TPM-modulen", for å initialisere den på nytt før du fjerner den.

I dialogboksen Fjern sikkerhetsmaskinvaren for TPMvelg metode oppgi passordet og sletter TPM-modulen:

Hvis du har flyttbare medier som du tidligere har lagret TPM-eierpassordet på, setter du det inn i leseren og trykker på Det er en arkivfil med TPM-eierpassordet. I dialogboksen Velg sikkerhetskopifilen med TPM-eierpassordet klikk på knappen Gjennomgå , for å velge en fil med filtypen .tpm på flyttbare medier, klikk deretter på knappen Åpne, og trykk deretter på .

Hvis du ikke har flyttbare medier med et lagret passord, velger du Skriv inn TPM-eierpassord manuelt. I dialogboksen som vises Skriv inn ditt TPM-eierpassord skriv inn passordet ditt (inkludert bindestreker) og trykk Fjern TPM.

Hvis du ikke kjenner TPM-eierpassordet, velg Ingen TPM-eierpassord og følg instruksjonene for å slette TPM uten å angi et passord.

Note. For å fjerne TPM og utføre et begrenset antall administrative oppgaver uten å angi TPM-eierpassordet, må en administrator være tilstede på datamaskinen.

TPM-statusen vises i feltet Tilstand TPM-administrasjonskonsoll.

Scenario 3: Blokkering og tillatelse av TPM-kommandoer

Dette skriptet beskriver hvordan du blokkerer og aktiverer TPM-kommandoer. Lokale administratorer kan utføre denne oppgaven under den første konfigurasjonen av en TPM-utstyrt datamaskin eller under en konfigurasjonsendring. TPM-kommandoer kan administreres gjennom en undernode av TPM Management Console kalt Teamledelse. Her kan administratorer se kommandoene som er tilgjengelige for bruk med TPM. De kan også blokkere eller tillate bruk av disse kommandoene, innenfor grensene for gruppepolicyinnstillinger og lokale datamaskininnstillinger. Følgende prosedyre leder deg gjennom hele prosessen med å blokkere og aktivere TPM-kommandoer.

Note
For å utføre prosedyren beskrevet nedenfor, må du være logget på datamaskinen utstyrt med TPM-modulen med lokale administratorrettigheter.

Følg disse trinnene for å blokkere og tillate TPM-kommandoer:

På menyen Start velg element Alle programmer, da Standard, hvoretter Henrette.

Gå tpm.msc i feltet Åpne, og trykk deretter på tasten Gå.

Utvid noden i konsolltreet Teamledelse. Dette vil vise en liste over TPM-kommandoer.

Velg kommandoen du vil blokkere eller tillate bruk fra listen.

På menyen Handlinger klikk Blokker valgt kommando eller Tillat kjøring av den valgte kommandoenavhengig av behov.

Note. Lokale administratorer kan ikke tillate TPM-kommandoer som er blokkert av gruppepolicy. TPM-kommandoer som er oppført som standard i MMC-blokkeringslisten vil heller ikke tillates før passende endringer er gjort i gruppepolicy for å overstyre standardblokkeringslisten.

Feillogging og tilbakemelding

Ettersom TPM-tjenester gir nye funksjoner i Windows Server "Longhorn" og Windows Vista, er vi veldig interessert i å høre tilbakemeldingene dine om hvordan du bruker dem, eventuelle problemer du kan støte på og nytten av den tilgjengelige dokumentasjonen.

Når du støter på feil, følg instruksjonene på Microsoft Connect-nettstedet. Vi er også interessert i å motta generelle forslag og tilbakemeldinger angående TPM-tjenester.

Du kan sende tilbakemeldinger og generelle spørsmål angående TPM-tjenester til følgende e-postadresse: mailto: [e-postbeskyttet]?subject=Windows Vista Beta 2 Trusted Platform Module Services Trinnvis veiledning .

Ytterligere informasjonskilder

Følgende kilder gir tilleggsinformasjon om TPM-tjenester:

For støtte, besøk Microsoft Connect-nettstedet.

For å få tilgang til TPM Services-nyhetsgrupper, følg instruksjonene på Microsoft Connect-nettstedet.

BitLocker Drive Encryption-teamet har en blogg på Microsoft TechNet.

Støtte innenfor rammen av et spesielt tilknyttet program Technology Adoption Program

Hvis du er en betatester som deltar i Technology Adoption Program (TAP), kan du også kontakte din tildelte Microsoft Product Team-representant for å få hjelp.

Det stadig økende antallet ormer, virus og elementære hull i moderne operativsystemer og nettverkstjenester tvinger IT-spesialister til å utvikle stadig flere nye informasjonssikkerhetsverktøy. Tidligere ble det hovedsakelig brukt programvareløsninger – maskinvare og programvare var ikke tilgjengelig for alle. Nå, takket være TPM (Trusted Platform Module)-teknologi, har disse løsningene nådd massene og blitt tilgjengelige for alle. I denne appen skal vi snakke om hva TPM er og hvorfor det er fornuftig å bruke denne teknologien i bedriften din.

Hva er TPM

TPM er en mikrokontroller designet for å implementere grunnleggende sikkerhetsfunksjoner ved hjelp av krypteringsnøkler. TPM-brikken er installert på datamaskinens hovedkort og samhandler med andre systemkomponenter via systembussen.

Konseptet med "trusted platform modules" (dette er hvordan forkortelsen TPM er oversatt til russisk) tilhører Trusted Computing Group (TCG) konsortiet, som har eksistert siden 2004.

TPM-teknologien i seg selv dukket ikke opp i 2004, men tidligere. I 1999 ble Trusted Computing Platform Alliance (TCPA) opprettet. Denne alliansen inkluderte de viktigste maskinvare- og programvareutviklerne - IBM, HP, Microsoft osv. Til tross for deltakernes eminens, minnet alliansens aktiviteter om den velkjente fabelen om svanen, krepsen og gjedda: alle "trakk lasset" på seg selv (hvert medlem av alliansen hadde rett til å kansellere beslutninger tatt av andre medlemmer), så TPM utviklet seg ganske sakte.

I 2004 ble TCPA-alliansen omgjort til et konsortium TrustedComputingGroup. Strukturen i denne organisasjonen var annerledes. Bare utvalgte selskaper (de kalles promoters) kan ta viktige beslutninger. Slike selskaper er nå Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft Og Verisign. De resterende selskapene (det er mer enn tusen av dem) har bare rett til å delta i utviklingen av utkast til spesifikasjoner eller ganske enkelt få tidligere tilgang til nye utviklinger.

Hovedutgangen til TCPA/TCG er "trusted platform-modulen", som tidligere ble kalt "Fritz Chip". Den ble oppkalt etter den amerikanske senatoren Fritz Hollings, kjent for sin støtte til Digital Rights Management (DRM).

TPM-mål

TPM-modulen kan også brukes til å verifisere integriteten og forfatterskapet til data. Kun autoriserte brukere skal ha tilgang til data, og sikkerheten ved overføringen av selve informasjonen skal ivaretas. Integritetssjekk vil beskytte systemet mot virus, ormer og andre programmer som endrer data uten å varsle brukeren.

Under utviklingen av TPM var målet ikke å lage en modul kun for å beskytte personlige datamaskiner eller bærbare datamaskiner mot virus - denne teknologien kan brukes til å sikre sikkerheten til mobiltelefoner, PDAer, inngangsenheter og diskstasjoner. Sammen med det kan du bruke biometriske identifikasjonsenheter.

Beskyttelsen av nettverksforbindelser håndteres av en egen avdeling av TCG - Trusted Network Connect (TNC). Vi vil ikke vurdere fruktene av TNCs aktiviteter, men vil begrense oss til TPM.

«Jern» og matematikk

Det er logisk å anta at TPM-brikken på selve hovedkortet ikke løser noe. Vi trenger støtte fra resten av maskinvaren og matematikk – programvare.

Du kan for eksempel installere en harddisk med TPM-støtte (fig. A37). Slike harddisker har blitt produsert i lang tid Seagate(Momentus 5400 FDE.2). Men Seagate er langt fra den eneste produsenten av harddisker med krypteringsfunksjon. Andre produsenter, som Hitachi, produserer også "kryptografiske stasjoner." Så du har et valg av maskinvare (du kan lese om andre maskinvare- og programvareprodusenter med TPM-støtte på nettsiden www.tonymcfadden.net).

Ris. P37. Seagate Momentus 5400 FDE.2 harddisk

Når det gjelder operativsystemet, støttes TPM-teknologi av de fleste moderne operativsystemer - Windows Vista, Microsoft Windows Server 2003 SP1, Microsoft Windows XP SP2, Windows XP Professional x64, SUSE Linux (siden versjon 9.2) og Enterprise Linux (siden versjon 3 oppdatering 3 ).

Hvordan TPM fungerer

Under oppstartsprosessen til datamaskinen sjekker brikken tilstanden til systemet, som bare kan startes i en autorisert tilstand, noe som kun er mulig hvis riktig hash-verdi oppdages.

Sette opp TPM på Windows

Følgende veiledning beskriver hvordan du bruker TPM-tjenester i Windows Vista:

Windows Vista og Windows Server 2008 bruker BitLocker diskkrypteringsteknologi, som er nært knyttet til klarerte moduler (Figur A38). Du kan lese om å sette opp BitLocker i Windows Server 2008 og Vista (fig. P39, P40) her:

Ris. P38. BitLocker-komponenter

Ris. P39. BitLocker-kryptering er deaktivert: TPM er ikke installert eller deaktivert (i BIOS)

Ris. P40. Interaksjonsskjema mellom fullvolumkryptering og TPM i Windows

Klare systemer med TPM-støtte

Ferdige TPM-datamaskiner har vært på markedet i lang tid: både bærbare og stasjonære datamaskiner. Vanligvis produseres slike systemer av kjente produsenter som HP, så prisen kan være litt oppblåst (tillegg "for merket").

De som vil spare penger kan anbefales å kjøpe maskinvare med TPM-støtte og montere alt selv. De nødvendige hovedkortene produseres av mange produsenter, for eksempel ASUS (M2N32-SLI Premium), MSI (Q35MDO), etc. (Fig. A41).

Ris. P41. ASUS M2N32-SLI Premium hovedkort (med TPM-støtte)

Hvorfor er TPM nødvendig?

For det andre er TPM kryptering av data på en harddisk. TPM gir mulighet for en avveining mellom sikkerhet og ytelse.

Siden kryptering gjøres i maskinvare, er det praktisk talt ingen innvirkning på ytelsen.

For det tredje, ved hjelp av TPM kan du klare deg helt uten passord ved å bruke brukerens fingeravtrykk i stedet. Enig, ganske effektiv løsning. I går så vi slike systemer i halvfiksjonsfilmer, men i dag er de allerede en realitet.

TPM er ikke et universalmiddel

Ikke glem den menneskelige faktoren. En person kan bevisst gi ut passordet til systemet sitt, eller skrive det ned et sted på et gult stykke papir som han fester til skjermen, eller ganske enkelt angi et veldig enkelt passord som ikke er vanskelig å gjette. I denne situasjonen vil TPM definitivt ikke hjelpe. Det er her programvare kommer til unnsetning, nemlig tilgangskontrollsystemer, men det er en annen historie.

Merknader:

Før du begynner å lese denne boken, er det verdt å snakke om måleenheter for informasjon. Den grunnleggende informasjonsenheten er én bit. En bit kan inneholde én av to verdier – enten 0 eller 1. Åtte biter danner en byte. Dette antallet biter er nok til å kode 1 tegn ved å bruke nuller og enere. Det vil si at én byte inneholder 1 tegn med informasjon – en bokstav, et tall osv. 1024 byte er én kilobyte (KB), og 1024 kilobyte er 1 megabyte (MB). 1024 megabyte er 1 gigabyte (GB), og 1024 gigabyte er 1 terabyte (TB).

Vennligst merk: det er 1024, ikke 1000. Hvorfor ble 1024 valgt? Fordi datamaskinen bruker et binært tallsystem (det er bare 2 verdier - 0 og 1), er 2 til 10. potens 1024.

Ikke alltid, men ofte, betyr den store bokstaven "B" når den indikerer måleenheten for informasjon "byte", og den lille bokstaven "bit". For eksempel er 528 MB 528 megabit, hvis du konverterer denne verdien til megabyte (bare del på 8), får du 66 megabyte (66 MB).

2,5-tommers Momentus 5400 FDE.2 (full diskkryptering) harddisk fra Seagate kommer som en del av ASI C8015+ bærbare datamaskiner (den bærbare datamaskinen koster omtrent $2100). Harddisken har et innebygd dynamisk krypteringssystem med maskinvareakselerasjon og TPM-støtte. I tillegg kommer den bærbare datamaskinen med en fingeravtrykkleser, noe som gjør den omtrent 20 % dyrere enn en vanlig bærbar PC med samme konfigurasjon. Momentus harddiskstørrelser er tilgjengelige i størrelsene 80, 100, 120 og 160 GB. SATA 3 Gb/s-grensesnittet brukes.

Hovedfunksjonen til Momentus FDE.2 er kryptering/dekryptering av skrevet og lest informasjon ved hjelp av AES-algoritmen med en 128-bits nøkkel på DriveTrust-fastvarenivå. Datakryptering utføres helt transparent, det vil si usynlig for brukeren. Informasjon presenteres i åpen (ukryptert) form kun i applikasjoner. Data lagres på harddisken kun i kryptert form.

Vanligvis reduserer prosessen med programvarekryptering systemytelsen betydelig (de som har jobbet med PGPDisk forstår hva vi snakker om). Men siden når det gjelder Momentus FDE.2-kryptering utføres på maskinvarenivå, øker dette CPU-belastningen med bare noen få prosent.

Ved oppstart av TPM-systemet må brukeren skrive inn passordet sitt. Passordet er nødvendig ikke bare for å fortsette nedlastingen, men også for å dekryptere dataene. Tidligere var det også mulig å sette et passord i SETUP, uten hvilket det var umulig å starte opp operativsystemet. Men du kan fjerne harddisken og koble den til en annen datamaskin. Hvis ingen kryptografiske midler ble brukt, var det ikke noe problem å lese informasjon fra harddisken. Når det gjelder TPM, selv om du fjerner harddisken og kobler den til en annen datamaskin, vil du ikke kunne lese informasjonen fordi den er kryptert og du ikke kjenner passordet for å dekryptere den.

Hva skal jeg gjøre hvis brukeren har glemt passordet? Deretter kan du bruke hovedpassordet. Og hvis du har glemt hovedpassordet (eller du rett og slett ikke vet det), så...

I tillegg er det en krypto-slettefunksjon, som er laget for å ødelegge all data fra harddisken. Denne operasjonen er nødvendig når du tar ut en harddisk eller overfører den til en annen bruker.

Konseptet med "trusted platform modules" (dette er hvordan forkortelsen TPM er oversatt til russisk) tilhører Trusted Computing Group (TCG) konsortiet, som har eksistert siden 2004.
TPM-teknologien i seg selv dukket ikke opp i 2004, men tidligere. I 1999 ble Trusted Computing Platform Alliance (TCPA) opprettet. Denne alliansen inkluderte de viktigste maskinvare- og programvareutviklerne - IBM, HP, Microsoft osv. Til tross for deltakernes eminens, minnet alliansens aktiviteter om den velkjente fabelen om svanen, krepsen og gjedda: alle "trakk lasset" på seg selv (hvert medlem av alliansen hadde rett til å kansellere beslutninger tatt av andre medlemmer), så TPM utviklet seg ganske sakte.

(adsbygoogle = window.adsbygoogle || ).push());

I 2004 ble TCPA-alliansen omgjort til Trusted Computing Group-konsortiet. Strukturen i denne organisasjonen var annerledes. Bare utvalgte selskaper (de kalles promoters) kan ta viktige beslutninger. Slike selskaper inkluderer nå Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft og Verisign. De resterende selskapene (det er mer enn tusen av dem) har bare rett til å delta i utviklingen av utkast til spesifikasjoner eller ganske enkelt få tidligere tilgang til nye utviklinger.
Hovedutgangen til TCPA/TCG er "trusted platform-modulen", som tidligere ble kalt "Fritz Chip". Den ble oppkalt etter den amerikanske senatoren Fritz Hollings, kjent for sin støtte til Digital Rights Management (DRM).

Hovedoppgaven til TPM er å lage en sikker datamaskin der alle kommunikasjonsprosesser, samt maskinvare og programvare, kontrolleres og beskyttes. Kommunikasjonssikkerhet betyr ikke prosessen med å beskytte en nettverkstilkobling, men å beskytte prosessen med samhandling mellom individuelle deler av systemet (for eksempel operativsystemet).
TPM-modulen kan også brukes til å verifisere integriteten og forfatterskapet til data. Kun autoriserte brukere skal ha tilgang til data, og sikkerheten ved overføringen av selve informasjonen skal ivaretas. Integritetssjekk vil beskytte systemet mot virus, ormer og andre programmer som endrer data uten å varsle brukeren.
Under utviklingen av TPM var målet ikke å lage en modul kun for å beskytte personlige datamaskiner eller bærbare datamaskiner mot virus - denne teknologien kan brukes til å sikre sikkerheten til mobiltelefoner, PDAer, inngangsenheter og diskstasjoner. Sammen med det kan du bruke biometriske identifikasjonsenheter. Beskyttelsen av nettverksforbindelser håndteres av en egen avdeling av TCG - Trusted Network Connect (TNC). Vi vil ikke vurdere fruktene av TNCs aktiviteter, men vil begrense oss til TPM.

Du kan for eksempel installere en harddisk med TPM-støtte (fig. A37). Seagate har produsert slike harddisker i lang tid (Momentus 5400 FDE.2).

Hvordan TPM fungerer

Som allerede nevnt er TPM-modulen implementert som en brikke på hovedkortet. TPM-brikken er integrert i datamaskinens oppstartsprosess og sjekker systemhashen ved hjelp av SHA1-algoritmen (Secure Hash Algorithm) den beregnes basert på informasjon om alle datamaskinkomponenter, både maskinvare (prosessor, harddisk, skjermkort) og programvare (; OS).
Men Seagate er langt fra den eneste produsenten av harddisker med krypteringsfunksjonalitet. Andre produsenter, som Hitachi, produserer også "kryptografiske stasjoner." Så du har et valg av maskinvare (du kan lese om andre maskinvare- og programvareprodusenter med TPM-støtte på nettsiden www.tonymcfadden.net).

Sette opp TPM på Windows

Følgende veiledning beskriver hvordan du bruker TPM-tjenester i Windows Vista:
Under oppstartsprosessen til datamaskinen sjekker brikken tilstanden til systemet, som bare kan startes i en autorisert tilstand, noe som kun er mulig hvis riktig hash-verdi oppdages.
http://www.oszone.net/display.php?id=4903.
Windows Vista og Windows Server 2008 bruker BitLocker diskkrypteringsteknologi, som er nært knyttet til klarerte moduler (Figur A38). Du kan lese om å sette opp BitLocker i Windows Server 2008 og Vista (fig. P39, P40) her:

Klare systemer med TPM-støtte

Hvorfor er TPM nødvendig?

For det første er TPM en økning i den generelle sikkerheten til systemet og ytterligere, implementert på maskinvarenivå, beskyttelse mot virus, trojanere og andre onde ånder på datamaskinen. Og som vi vet, bør du ikke spare på sikkerheten, spesielt i en bedrift.
De som vil spare penger kan anbefales å kjøpe maskinvare med TPM-støtte og montere alt selv. De nødvendige hovedkortene produseres av mange produsenter, for eksempel ASUS (M2N32-SLI Premium), MSI (Q35MDO), etc. (Fig. A41).
For det andre er TPM kryptering av data på en harddisk. TPM gir mulighet for en avveining mellom sikkerhet og ytelse.
Siden kryptering gjøres i maskinvare, er det praktisk talt ingen innvirkning på ytelsen.

Det er viktig å huske at TPM ikke er en universell løsning eller et universalmiddel for alle dataproblemer. Ingen har kansellert et godt antivirus og brannmur. TPM ble utviklet mer for å beskytte interessene til programvaregigantene: for å forhindre at brukeren kjører ulisensiert programvare. Fra dette synspunktet er det ennå ikke klart om TPM er bra eller dårlig, gitt antall ulisensierte programmer i våre åpne områder. La oss innse det - det er mye piratkopiert programvare.
For det tredje, ved hjelp av TPM kan du klare deg helt uten passord ved å bruke brukerens fingeravtrykk i stedet. Enig, ganske effektiv løsning. I går så vi slike systemer i halvfiksjonsfilmer, men i dag er de allerede en realitet.

Trusted Platform Modules er små brikker som beskytter data og har blitt brukt i datamaskiner, konsoller, smarttelefoner, nettbrett og mottakere i flere år. For tiden er omtrent én milliard enheter utstyrt med TPM-brikker, hvorav 600 millioner er kontor-PCer.

Siden 2001 begynte tilhengere av "konspirasjonsteorien" å betrakte brikker som et kontrollverktøy som visstnok tillater å begrense brukerrettighetene: teoretisk sett kan TPM-brikker brukes, for eksempel for å begrense ulovlig kopiering av filmer og musikk siste 12 årene har det ikke vært en eneste slik sak. Dessuten bruker Windows en lignende modul for å sikkert starte opp og kryptere harddiskdata ved hjelp av BitLocker. Dermed gir TPM en fordel i kampen mot skadevare og datatyveri.

Til tross for alt dette har versjon 2.0-spesifikasjonen tiltrukket seg mye oppmerksomhet, fordi TPM-brikker nå er aktivert "som standard" (tidligere måtte brukeren aktivere dem selv). Tilsynelatende vil det snart bli vanskelig å finne enheter på salg uten TPM 2.0, da Microsoft har endret sertifiseringskriteriene for Windows tilsvarende. Siden 2015 er TPM 2.0-standarden obligatorisk for alle, ellers vil ikke maskinvareprodusenten motta bekreftelse på sertifisering.

TPM-behandleren i Windows Kontrollpanel-vinduet viser status og versjon av TPM-brikken

TPM-brikken garanterer OS-sikkerhet

Den mest effektive måten å beskytte systemet på, og eliminere muligheten for hackere, er å bruke en maskinvare TPM-brikke. Det er en liten "datamaskin i en datamaskin": en pålitelig modul med sin egen prosessor, RAM, lagring og inngangs-/utgangsgrensesnitt.

Hovedmålet til TPM er å gi operativsystemet garanterte sikre tjenester. For eksempel lagrer TPM-brikker kryptonøkler som brukes til å kryptere data på en harddisk. I tillegg bekrefter modulen identiteten til hele plattformen og sjekker systemet for mulig interferens fra hackere i driften av maskinvaren. I praksis gir TPM sammen med UEFI Secure Boot brukeren en fullstendig beskyttet og sikker prosess for å starte operativsystemet.

Stadiet der tredjepartsprogramvare (antivirusskanner) lastes inn, omtales av Microsoft som Measured Boot. Microsoft gir sin signatur for ELAM-driveren (Early Launch Anti-Malware) fra utviklere av antivirusprogramvare. Hvis den mangler, avbryter UEFI oppstartsprosessen. Kjernen sjekker antivirusbeskyttelse ved oppstart. Hvis ELAM-driveren består testen, gjenkjenner kjernen de andre driverne som gyldige. Dette eliminerer muligheten for at rootkits påvirker Windows-oppstartsprosessen og "drar fordel av situasjonen" når virusskanneren ennå ikke er aktiv.

Den forrige TPM 1.2-spesifikasjonen brukte utdatert teknologi med RSA-2048 og SHA-1 krypteringsalgoritmer implementert i maskinvare (sistnevnte anses som usikker). I stedet for å bruke strengt definerte algoritmer i TPM-brikker, kan versjon 2.0 gi symmetriske og asymmetriske krypteringsmetoder. For eksempel er SHA-2, HMAC, ECC og AES tilgjengelig for øyeblikket. I tillegg kan TPM 2.0 oppdateres for å støtte nye kryptografiske algoritmer.

TPM-brikker genererer nøkler for BitLocker, Windows-krypteringssystemet

Tilnærmingen til bruk av nøkler har også endret seg. Mens tidligere to faste kryptonøkler ble brukt som grunnlag for alle tjenester som tilbys, fungerer TPM 2.0 med svært store tilfeldige tall – de såkalte frøene. I dette tilfellet genereres de nødvendige nøklene gjennom matematiske funksjoner som bruker de innledende tallene som inngangsdata. TPM 2.0 gir også muligheten til å generere nøkler kun for engangsbruk.

Trusted Platform Module

Innen datateknologi, Trusted Platform Module(TPM) er navnet på en spesifikasjon som beskriver en kryptoprosessor der kryptografiske nøkler lagres for å beskytte informasjon, samt et generisk navn for implementeringer av den spesifiserte spesifikasjonen, for eksempel i form av en "TPM-brikke" eller " TPM-sikkerhetsenhet» (Dell). Tidligere kalt "Fritz-brikken" (tidligere senator Ernest "Fritz" Hollings er kjent for sin entusiastiske støtte til styringssystemet for digitale rettigheter, DRM). TPM-spesifikasjonen ble utviklet av Trusted Computing Group. Den gjeldende versjonen av TPM-spesifikasjonen er 1.2 revisjon 116, utgave 3. mars 2011.

Kort oversikt

Trusted Platform Module (TPM), en kryptoprosessor, gir et middel for sikker generering av krypteringsnøkler som kan begrense bruken av nøkler (både signatur og kryptering/dekryptering) med samme grad av ikke-repeterbarhet som en tilfeldig tallgenerator. Denne modulen inkluderer også følgende funksjoner: ekstern sertifisering, binding og pålitelig sikker lagring. Ekstern attestering oppretter en kobling mellom maskinvare, systemoppstart og vertskonfigurasjon (datamaskin-OS), slik at en tredjepart (for eksempel en digital musikkbutikk) kan bekrefte at programvare eller musikk som er lastet ned fra butikken ikke er modifisert eller kopiert av brukeren (se TSZAP). Kryptoprosessoren krypterer data på en slik måte at de kun kan dekrypteres på datamaskinen der de ble kryptert, og kjører den samme programvaren. Bindingen krypterer dataene ved hjelp av en TPM-bekreftelsesnøkkel - en unik RSA-nøkkel skrevet inn i brikken under produksjonsprosessen, eller en annen pålitelig nøkkel.

TPM-en kan brukes til å verifisere ektheten til maskinvaren. Siden hver TPM-brikke er unik for en spesifikk enhet, gjør den det mulig å entydig fastslå ektheten til plattformen. For eksempel for å sjekke at systemet som er tilgjengelig er det forventede systemet.

TPM-arkitektur

Brikkearkitekturen implementerer følgende sikkerhetsalgoritmer:

sikker minnehåndtering,
buss- og datakryptering,
aktiv skjerming.

Aktiv skjerming lar brikken oppdage elektrisk testing og om nødvendig blokkere brikken. I tillegg brukes ikke-standard teknologiske trinn også i produksjonen av TPM, for eksempel sammenfiltring av topologien til IC-lag. Disse tiltakene gjør det mye vanskeligere å hacke brikken, øker kostnadene ved hacking, noe som fører til en nedgang i potensielle overtredere.

Input/Output (eng. I/O)

Denne komponenten styrer informasjonsflyten på bussen. Ruter meldinger til passende komponenter. I/O-komponenten håndhever tilgangspolicyen knyttet til TPM-funksjoner.

Kryptografisk prosessor

Utfører kryptografiske operasjoner i TPM. Disse operasjonene inkluderer:

Asymmetrisk nøkkelgenerering (RSA);
Asymmetrisk kryptering/dekryptering (RSA);
Hashing (SHA-1);
Generering av tilfeldig tall.

TPM bruker disse egenskapene til å generere tilfeldige sekvenser, generering av asymmetrisk nøkkel, digital signering og konfidensialitet for lagrede data. TPM støtter også symmetrisk kryptering for interne behov. Alle lagrede nøkler må samsvare med styrken til en 2048-biters RSA-nøkkel.

Ikke-flyktig lagring

Brukes til å lagre bekreftelsesnøkkelen, rotnøkkelen (Storage Root Key, SRK), autorisasjonsdata og forskjellige flagg.

Godkjenningsnøkkel (EK)

RSA nøkkelgenerator

Oppretter RSA-nøkkelpar. TCG pålegger ikke minimumskrav til nøkkelgenereringstid.

RSA-motor

Brukes til digitale signaturer og kryptering. Det er ingen begrensninger på implementeringen av RSA-algoritmen. Produsenter kan bruke Chinese Residue Theorem eller en hvilken som helst annen metode. Minste anbefalte nøkkellengde er 2048 biter. Verdien av den åpne eksponenten må være .

Den pålitelige plattformen

I TCG-systemer er tillitens røtter komponenter som må stoles på. Et komplett sett med røtter av tillit har minimumsfunksjonaliteten som kreves for å beskrive en plattform, noe som påvirker tilliten til den plattformen. Det er tre røtter til tillit: roten til tillit for målinger (RTM), roten til tillit for lagring (RTS) og roten til tillit for meldinger (RTR). RTM er en beregningsmotor som gjør pålitelige målinger av plattformintegritet. RTS er en databehandlingsmotor som er i stand til å lagre hasjer av integritetsverdier. RTR er en mekanisme som pålitelig rapporterer informasjon lagret i RTS. Måledata beskriver egenskapene og egenskapene til komponentene som måles. Hashes av disse målingene er et "øyeblikksbilde" av tilstanden til datamaskinen. Lagringen deres utføres av RTS- og RTR-funksjonaliteten. Ved å sammenligne hashen av målte verdier med hashen til den pålitelige tilstanden til plattformen, kan vi snakke om integriteten til systemet.

Mulige bruksområder

Autentisering

TPM kan betraktes som neste generasjons sikkerhetstoken. Kryptoprosessoren støtter både bruker- og datamaskinautentisering, og sikrer at kun autoriserte brukere og datamaskiner har tilgang til nettverket. Dette kan brukes for eksempel når du beskytter e-post basert på kryptering eller signering med digitale sertifikater knyttet til en TPM. Eliminering av passord og bruk av TPM-er gir også sterkere autentiseringsmodeller for kablet, trådløs og VPN-tilgang.

Databeskyttelse mot tyveri

Dette er hovedformålet med en "sikker beholder". Selvkrypterende enheter basert på Trusted Computing Group-spesifikasjoner muliggjør innebygd kryptering og datatilgangskontroll. Disse enhetene gir full diskkryptering, og beskytter data hvis datamaskinen mistes eller blir stjålet.

Fordeler:

Forbedret ytelse

Maskinvarekryptering lar deg operere med hele spekteret av data uten tap av ytelse.

Økt sikkerhet

Kryptering er alltid aktivert. I tillegg genereres nøklene inne i enheten og forlater den aldri.

Lave brukskostnader

Ingen endringer i operativsystemet, applikasjoner osv. er påkrevd. Ingen CPU-ressurser brukes til kryptering.

TPM+Bitlocker-kombinasjonen har store muligheter. Denne løsningen lar deg kryptere hele disken transparent fra programvaren.

Network Access Control (NAC)

TPM kan bekrefte identiteten til en datamaskin og til og med funksjonaliteten før den får tilgang til nettverket og, om nødvendig, sette datamaskinen i karantene.

Beskyttelse av programvare mot endringer

Sertifisering av programkode vil beskytte spill mot juks, og sensitive programmer som bank- og postklienter vil være beskyttet mot forsettlige endringer. Tilføyelsen av en "trojansk hest" til installasjonsprogrammet for den nyeste versjonen av messenger vil bli stoppet umiddelbart.

Kopibeskyttelse

Kopibeskyttelsen er basert på følgende kjede: programmet har et sertifikat som gir det (og bare det) tilgang til dekrypteringsnøkkelen (som også er lagret i TPM). Dette gir kopibeskyttelse som ikke kan omgås av programvare.

Implementering

Produsenter

Allerede er mer enn 300 000 000 datamaskiner utstyrt med en TPM-brikke. I fremtiden kan TPM bli installert på enheter som mobiltelefoner. TPM-mikrokontrollere produseres av følgende selskaper:

Sinosun,
Nuvoton,

Kritikk

Trusted Platform Module er også kritisert for navnet sitt. tillit- alltid gjensidig, mens TPM-utviklerne ikke stoler på brukeren), og for brudd på friheten knyttet til det. For disse bruddene kalles enheten ofte Forrædersk databehandling("forræderske beregninger").

Mister "eierskap" til datamaskinen

Eieren av en datamaskin kan ikke lenger gjøre hva han vil med den, og overføre noen rettigheter til programvareprodusenter. Spesielt kan TPM forstyrre (på grunn av feil i programvaren eller en forsettlig beslutning fra utviklerne):

overføre data til en annen datamaskin;
fritt velge programvare for datamaskinen din;
behandle eksisterende data ved hjelp av tilgjengelige programmer.

Tap av anonymitet

Det er nok å minne om kontroversen om identifikasjonsnummeret til Pentium III-prosessoren for å forstå hva en ekstern lesbar og uforanderlig datamaskinidentifikator kan føre til.

Undertrykkelse av konkurrenter

Et bransjeledende program (som AutoCAD, Microsoft Word eller Adobe Photoshop) kan installere kryptering på filene sine, noe som gjør det umulig for tredjepartsprogrammer å få tilgang til disse filene, og dermed potensielt true fri konkurranse i applikasjonsprogramvaremarkedet.

Breaking

Hvis TPM mislykkes, blir beskyttede beholdere utilgjengelige, og dataene i dem blir ugjenopprettelige. TPM er praktisk bare hvis det er et komplekst sikkerhetskopieringssystem - for å sikre hemmelighold må det naturligvis ha sine egne TPM-er.

Hacks

På Black Hat 2010 datasikkerhetskonferansen ble det kunngjort at Infineon SLE66 CL PE-brikken, produsert etter TPM-spesifikasjoner, ble hacket. Denne brikken brukes i datamaskiner, satellittkommunikasjonsutstyr og spillkonsoller. Et elektronmikroskop (koster rundt $70 000) ble brukt til hacket. Chipskallet ble løst opp med syre, og bittesmå nåler ble brukt til å avskjære kommandoer. Infineon hevder at de var klar over at brikken kunne hackes fysisk. Borchert, visepresident i selskapet, forsikret at dyrt utstyr og den tekniske kompleksiteten ved hacking ikke utgjør noen fare for det store flertallet av brikkebrukere.