Функция trusted computing что это

Содержание

Trusted Platform Module (TPM), микроконтроллер, который предлагает средства для безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи так и для шифрования/дешифрования), с той же степенью неповторяемости, как и генератор случайных чисел. Так же этот модуль включает следущие возможности: удалённую аттестацию, привязку, и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы, и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение, или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. ТСЗАП). Шифрование кодирует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения). Привязка шифрует данные, используя ключ одобрения TPM (уникальный ключ RSA, записанный в чип в процессе его производства), или другой ключ, которому доверяют.

Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система.

Возможные применения

Идентификация компьютера

Уникальный шифровальный ключ, содержащийся в TPM, позволяет идентифицировать компьютер. Таким образом, к критически важным распределённым системам чужому подключиться будет невозможно.

Защита данных от кражи

Это основное назначение «защищённого контейнера». Данные может расшифровать только тот TPM, на котором данные были зашифрованы.

Кроме того, TPM позволяет прозрачно от ПО шифровать весь диск (см., например, Bitlocker).

Защита ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства, а чувствительные программы наподобие банковских и почтовых клиентов — от намеренной модификации. Сразу же будет пресечено добавление «троянского коня» в инсталлятор свежей версии мессенджера.

Защита от копирования

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.

Критика

Trusted Platform Module критикуется и за название (доверие — англ. trust — всегда обоюдное, в то время как пользователю-то разработчики TPM и не доверяют), так и за ущемления свободы, связанные с ним. За эти ущемления устройство часто называют Treacherous computing («вероломные вычисления»).

Потеря «владения» компьютером

Владелец компьютера больше не может делать с ним всё, что угодно, передавая часть прав производителям программного обеспечения. В частности, TPM может мешать (из-за ошибок в ПО или намеренного решения разработчиков):

  • переносить данные на другой компьютер;
  • свободно выбирать программное обеспечение для своего компьютера;
  • использовать имеющиеся данные любыми доступными программами.

Потеря анонимности

Одним из преимуществ Интернета является анонимность. На данный момент, если в программном обеспечении нет явных «жучков» или ошибок, а cookie удалены, единственным идентификатором пользователя будет IP-адрес.

Достаточно вспомнить споры по поводу индентификационного номера процессора Pentium III, чтобы понять, к чему может привести удалённо читаемый и неизменяемый идентификатор компьютера.

Подавление конкурентов

Программа, ставшая лидером отрасли (как Microsoft Word или Adobe Photoshop) может установить шифрование на свои файлы, делая невозможным доступ к этим файлам посредством программ других производителей. Такая возможность является потенциальной угрозой свободной конкуренции на рынке прикладного ПО.

Поломка

При поломке TPM защищённые контейнеры оказываются недоступными, а данные в них — невосстановимыми. TPM практичен только если существует сложная система резервного копирования — естественно, для обеспечения секретности она должна иметь свои TPM’ы.

Свободное и открытое программное обеспечение

Главное Список открытого и свободного ПО · Что такое свободное ПО? · Common UNIX Printing System · GNU Project · X Window System История Linux · Mozilla ( Application Suite · Firefox · Thunderbird ) Операционные
системы · (ядро) · Разработка GCC · LLVM · Менеджеры
окон XWS EDE · Étoilé · ROX · Window Maker · Организации Фонд свободного ПО (европейский, индийский, латиноамериканский) · Linux Foundation · Mozilla Foundation · Open Source Initiative Лицензии Apache · BSD · GPL · LGPL · MIT · MPL · Либеральные лицензии · Разнообразие лицензий Проблемы Безопасность открытого ПО · Блоб · Конфликт SCO-Linux · Патенты и свободное ПО · Собственническое ПО· Технические средства защиты авторских прав · Тивоизация · Trusted Computing Другое · Сообщество · Движение · Свободное и открытое ПО · Revolution OS Портал:Свободное программное обеспечение

Wikimedia Foundation . 2010 .

Смотреть что такое "Trusted Computing" в других словарях:

Trusted Computing — (TC) is a technology developed and promoted by the Trusted Computing Group. The term is taken from the field of trusted systems and has a specialized meaning. With Trusted Computing the computer will consistently behave in specific ways, and… … Wikipedia

Trusted Computing — (TC) ist eine Technologie, die von der Trusted Computing Group entwickelt und beworben wird. Der Ausdruck ist dem Fachausdruck Trusted System entlehnt, hat jedoch eine eigene Bedeutung. Trusted Computing bedeutet, dass der Betreiber eines PC… … Deutsch Wikipedia

Trusted computing — Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung. Trusted Computing (TC) ist eine Technologie, die von der Trusted… … Deutsch Wikipedia

Trusted Computing — Informatique de confiance L’informatique de confiance est un projet de grandes sociétés d informatique, incluant plusieurs technologies, suscitant de très vifs débats notamment sur la préservation des libertés indiv >Wikipédia en Français

Trusted Computing — La computación confiable (en inglés Trusted Computing) ha s >Wikipedia Español

Trusted Computing Group — Rechtsform Konsortium Gründung 2003[1] Sitz Beaverton (Oregon), USA[2] Website … Deutsch Wikipedia

Trusted Computing Platform Alliance — Trusted Computing Group Pour les articles homonymes, voir TCG. Le Trusted Computing Group (TCG, nommé jusqu en 2003 TCPA pour Trusted Computing Platform Alliance) est un consortium d entreprises d informatique (Compaq, HP, IBM, Intel, Microsoft,… … Wikipédia en Français

Trusted Computing Group — Infobox Company company name = Trusted Computing Group company company type = Consortium location city = Beaverton, Oregon [ [https://www.trustedcomputinggroup.org/about/contact us/ Trusted Computing Group: Contact Us ] ] location country = USA… … Wikipedia

Trusted computing base — The trusted computing base (TCB) of a computer system is the set of all hardware, firmware, and/or software components that are critical to its security, in the sense that bugs occurring ins >Wikipedia

Trusted Computing Group — Pour les articles homonymes, voir TCG. Le Trusted Computing Group (TCG, nommé jusqu en 2003 TCPA pour Trusted Computing Platform Alliance) est un consortium d entreprises d informatique (Compaq, HP, IBM, Intel, Microsoft, AMD, etc.) visant à… … Wikipédia en Français

В вычислительной технике Trusted Platform Module (TPM) — название спецификации, описывающей криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщённое наименование реализаций указанной спецификации, например, в виде «чипа TPM» или «устройства безопасности TPM» (Dell). Раньше назывался «чипом Фрица» (бывший сенатор Эрнест «Фриц» Холлингс известен своей горячей поддержкой системы защиты авторских прав на цифровую информацию, DRM). Спецификация TPM разработана некоммерческой организацией «Trusted Computing Group» (англ.). Текущая версия спецификации TPM — 1.2 ревизия 116, издание 3 марта 2011. [TCG 1]

Читайте также:  Метод фурье разделения переменных примеры

Содержание

История разработки [ править | править код ]

В январе 1999 года была создана рабочая группа производственных компаний «Альянс доверяемых компьютерных платформ» (англ. Trusted Computing Platform Alliance, TCPA) с целью развития механизмов безопасности и доверия в компьютерных платформах. Первоначально в TCPA входили ведущие разработчики аппаратного и программного обеспечения — HP, Compaq (в настоящее время подразделение HP), IBM, Intel, Microsoft. [1]

В октябре 1999 года была анонсирована проектная спецификация и открыта возможность другим компаниям присоединиться к альянсу. В августе 2000 года была выпущена для обсуждения предварительная публичная версия спецификации. Спецификация TCPA версии 1.0 была опубликована в феврале 2001 года, в ней были определены основные требования к TPM с точки зрения производителя электронных устройств. [2]

Затем была создана рабочая группа по созданию TPM, которая пересмотрела общую спецификацию с точки зрения практического применения доверяемого модуля (TPM). В августе 2001 года была выпущена спецификация версии 1.1 и создана рабочая группа по проектированию платформы ПК, на которую устанавливается доверяемый модуль. [2]

В апреле 2003 года была организована некоммерческая организация «Trusted Computer Group» (TCG), которая стала преемником TCPA и продолжила работать над развитием уже выпущенных спецификаций. В дополнение к уже созданным рабочим группам по проектированию TPM и платформы ПК были созданы группы по разработке спецификаций для мобильных устройств, ПК-клиентов, серверов, запоминающих устройств, инфраструктуры доверяемых вычислений, программного обеспечения (англ. Trusted Software Stack, TSS) и доверяемого сетевого соединения. В ноябре 2003 года была опубликована спецификация TPM версии 1.2, последняя версия с существенными изменениями, в которой по существу описана функциональность TPM. [2]

Краткий обзор [ править | править код ]

Trusted Platform Module (TPM), содержащий в себе криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи, так и для шифрования/дешифрования) с той же степенью неповторяемости, что и генератор случайных чисел. Также этот модуль имеет следующие возможности: удалённую аттестацию, привязку и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. DRM). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют. [3]

Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система.

Архитектура TPM [ править | править код ]

В спецификации TCG описан минимальный набор алгоритмов и протоколов, которым должен удовлетворять чип TPM. Кроме того, производителем могут быть реализованы дополнительные алгоритмы и протоколы (которые, разумеется, должны быть описаны производителем в соответствующей документации). [TCG 2]

В архитектуре чипа реализованы следующие защитные механизмы:

  • защищённое управление памятью;
  • шифрование шины и данных;
  • тестирование режимов блокирования;
  • активное экранирование.

В чипе реализованы алгоритмы асимметричной криптографии, обеспечивающие высокий уровень защиты. Некоторые элементы логического дизайна чипа являются нестандартными с точки зрения типовых методов проектирования интегральных схем (ИС). Применяются и специальные приёмы проектирования ИС: «запутывание» топологии слоёв ИС, усложняющее анализ функций элементов микросхемы. Ряд технологических особенностей чипов безопасности специально не разглашается компаниями-производителями, чтобы уменьшить вероятность взлома даже в том случае, когда для этого применяются современные методы анализа функционирования микросхем и дорогостоящее оборудование. [4]

Ввод/Вывод (англ. I/O) [ править | править код ]

Этот компонент управляет потоком информации по шине и управляет сообщениями между соответствующим компонентами TPM. I/O компонент вводит в действие политику доступа, связанную с функциями TPM. Правила доступа определяются флагами доступа, хранящимися в блоке Opt-In энергонезависимой памяти. [5]

Криптографический процессор [ править | править код ]

Осуществляет криптографические операции внутри TPM. Эти операции включают в себя:

  • Генерация асимметричных ключей (RSA);
  • Асимметричное шифрование/расшифрование (RSA);
  • Хеширование (SHA-1);
  • Генерация случайных чисел.

TPM использует эти возможности для генерации случайных последовательностей, генерации асимметричных ключей, цифровой подписи и конфиденциальности хранимых данных. Также TPM поддерживает симметричное шифрование для внутренних нужд. Все хранимые ключи по силе должны соответствовать ключу RSA длиной 2048 бит [5] .

Энергонезависимая память (англ. Non-Volatile Storage) [ править | править код ]

Используется для хранения ключа подтверждения, корневого ключа (англ. Storage Root Key, SRK), авторизационных данных, различных флагов доступа и блока Opt-In. Объём этого типа памяти ограничен (1280 байт). [6]

Ключ подтверждения (англ. Endorsement Key, EK) [ править | править код ]

EK — ключ RSA размером 2048 бит, идентифицирующий чип, а также всё устройство, фундаментальный компонент TPM. Открытая часть называется PUBEK, закрытая — PRIVEK. В соответствии с политикой безопасности PRIVEK не должен быть доступен вне чипа, он никогда не используется для генерирования подписей. PUBEK хранится в сертификате, используется только для установления владельца TPM и в процессе генерации AIK. EK генерируется до того, как конечный пользователь получит платформу. Стандарт позволяет изменить этот ключ, из-за чего использование TPM может быть ограниченным. [5]

Ключи подтверждения подлинности (англ. Attestation Identity Keys, AIK) [ править | править код ]

AIK — ключ RSA длиной 2048 бит, используемый только для подписей, для шифрования не используется. TPM может сгенерировать неограниченное количество AIK, эти ключи должны быть постоянными, но рекомендуется хранить AIK в виде блобов в постоянной внешней памяти, а не внутри энергонезависимой памяти TPM. В соответствии со спецификацией предполагается, что производители обеспечат достаточно места для многих блобов AIK, которые будут одновременно загружаться в энергозависимую память TPM. Переход AIK от одного TPM к другому запрещён. [6]

Регистры конфигурации платформы (Platform Configuration Registers, PCR) [ править | править код ]

PCR — это уникальные признаки TPM, в которых в зашифрованном виде содержится вся информация о целостности метрик системы, начиная с загрузки BIOS до завершения работы системы. Информация, содержащаяся в PCR, формирует корень доверия для измерений (RTM). Могут храниться как в энергонезависимой, так и в энергозависимой памяти. Эти регистры сбрасываются при старте и при перезагрузке системы. Спецификация предписывает минимальное количество регистров (16), каждый регистр содержит 160 бит информации. Регистры 0-7 зарезервированы для нужд TPM. Регистры 8-15 доступны для использования операционной системой и приложениями. [5] Изменения значений PCR необратимы и их значения нельзя записать напрямую, их можно только расширить новыми значениями, которые зависят от предыдущих. Все изменения значений PCR записываются в лог изменений, который хранится в энергозависимой памяти. [6]

Генератор случайных чисел (англ. Random Number Generator, RNG) [ править | править код ]

Используется для генерации ключей и случайностей в сигнатурах (подписях). [6] TPM должен быть способным обеспечить 32 случайных бита на каждый вызов. RNG чипа состоит из следующих компонентов:

  • Источник энтропии и коллектор

Источник энтропии — процесс (или процессы), обеспечивающие энтропию. Такими источниками могут быть шум, счётчик тактов процессора и другие события. Коллектор энтропии — процесс, который собирает энтропию, удаляет смещение, выравнивает выходные данные. Энтропия должна передаваться только регистру состояния.

  • Регистр состояния

Реализация регистра состояния может использовать 2 регистра: энергозависимый и независимый. При старте TPM загружает энергозависимый регистр из энергонезависимого. Любое последующее изменение регистра состояния от источника энтропии или от смешивающей функции влияет на энергозависимый регистр. При выключении TPM записывает текущее значение регистра состояния в энергонезависимый регистр (такое обновление может происходить и в любое другое время). Причиной такой реализации является стремление реализовать энергонезависимый регистр на флэш-памяти, количество записи в которую ограничено. TPM должен обеспечить отсутствие экспорта регистра состояния.

  • Смешивающая функция

Берёт значение из регистра состояния и выдаёт выходные данные RNG. Каждое использование смешивающей функции должно изменять регистр состояния.

При потере питания происходит сброс RNG. Любые выходные данные RNG для TPM должны быть защищены.

Блок SHA-1 (англ. SHA-1 Engine) [ править | править код ]

Используется для вычисления сигнатур (подписей), создания блоков ключей и других целей общего назначения. Хеш-интерфейсы доступны вне TPM. Это позволяет окружению иметь доступ к хеш-функции.

Генератор ключей RSA (англ. RSA Key Generator) [ править | править код ]

Создаёт пары ключей RSA. TCG не определяет требований ко времени генерации ключей. [6]

Устройство RSA (англ. RSA Engine) [ править | править код ]

Используется для цифровых подписей и шифрования. Нет ограничений на реализацию алгоритма RSA. Минимально рекомендуемая длина ключа — 2048 бит. [5] Производители могут использовать китайскую теорему об остатках или любой другой метод. Значение открытой экспоненты должно быть 2 16 + 1 <displaystyle 2^<16>+1> .

Читайте также:  Значение стикеров спотти в контакте

Компонент Opt-In [ править | править код ]

Этот компонент отвечает за состояние TPM и статус владения пользователем TPM. За это отвечают три группы переменных: TPM включён/отключён (в отключённом состоянии все операции блокируются), TPM активирован/деактивирован (в деактивированном состоянии возможно выполнение операций, напр. смена владельца), пользователь прошёл/не прошёл аутентификацию как владелец модуля. Данная информация хранится в виде флагов. [5]

Доверенная платформа (англ. The trusted Platform) [ править | править код ]

Идея доверенной платформы или платформы, которой можно доверять (её ожидаемое поведение всегда совпадает с реальным), основана на понятии «корень доверия» (англ. Root of Trust ) — набор компонентов, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR). [3] RTM — вычислительный механизм, который производит надёжные измерения целостности платформы. RTS — вычислительный механизм, способный хранить хеши значений целостности. RTR — механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хеши этих измерений — «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хеш измеренных значений с хешем доверенного состояния платформы, можно судить о целостности системы. [7]

Возможные применения [ править | править код ]

Аутентификация [ править | править код ]

TPM представляет собой токен аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам. [TCG 3] Это может использоваться, например, при защите электронной почты, основанной на шифровании или для подписания цифровых сертификатов, привязанных к TPM. Отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN доступа. [8]

Защита данных от кражи [ править | править код ]

Это является основным назначением «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера. [TCG 4]

  • Улучшение производительности

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности.

  • Усиление безопасности

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

  • Низкие издержки использования

Не требуются модификации операционной системы, приложений и т. д. Для шифрования не используются ресурсы центрального процессора. [8]

Большие перспективы имеет связка TPM+Bitlocker. Такое решение позволяет прозрачно от ПО шифровать весь диск. [7]

Управление доступом к сети (NAC) [ править | править код ]

TPM может подтверждать подлинность компьютера и даже его работоспособность ещё до получения доступа к сети и, если необходимо, помещать компьютер в карантин. [9]

Защита ПО от изменения [ править | править код ]

Сертификация программного кода обеспечит защиту игр от читерства, а программы, требующие особой осторожности, наподобие банковских и почтовых клиентов, — от намеренной модификации. [8] Сразу же будет пресечено добавление «троянского коня» в устанавливаемом приложении.

Защита от копирования [ править | править код ]

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами. [8]

Реализация [ править | править код ]

Производители [ править | править код ]

Хотя спецификация предполагает как аппаратную, так и программную реализации системы TPM, обеспечение должного уровня безопасности, установленного в общей спецификации, на сегодняшний день возможно только при аппаратной реализации [2] . Аппаратная реализация в виде чипа TPM была впервые выпущена в 2005 году. [10] На сегодняшний день чипом TPM оснащено более 500 000 000 компьютеров. [TCG 5] В будущем TPM сможет устанавливаться на такие устройства, как мобильные телефоны, устойства ввода и хранения информации. Микроконтроллеры TPM на сегодняшний день производятся и применяются многими компаниями. [TCG 6]

Критика [ править | править код ]

Проблема «доверия» [ править | править код ]

Trusted Platform Module критикуется некоторыми [11] IT-специалистами за название. Доверие (англ. trust ) всегда должно быть обоюдным, в то время как разработчики TPM пользователю не доверяют, что приводит к ущемлению свободы. По мнению отдельных IT-специалистов, [8] [12] для доверенных вычислений больше подходит название «вероломные вычисления» (англ. treacherous computing ), поскольку наличие модуля гарантирует обратное — систематический выход компьютера из подчинения. Фактически, компьютер перестаёт фунционировать в качестве компьютера общего назначения, поскольку любая операция может потребовать явного разрешения владельца компьютера. [12]

Потеря «владения» компьютером [ править | править код ]

Владелец компьютера больше не может делать с ним всё, что угодно, поскольку передаёт часть своих прав производителям программного обеспечения. В частности, TPM может мешать (из-за ошибок в ПО или намеренного решения разработчиков):

  • переносить данные на другой компьютер;
  • свободно выбирать программное обеспечение для своего компьютера;
  • обрабатывать имеющиеся данные любыми доступными программами. [8]

Потеря анонимности [ править | править код ]

Компьютер, оборудованный TPM, имеет уникальный идентификатор, зашитый в чипе. Идентификатор известен производителю программного обеспечения и его невозможно изменить. Это ставит под угрозу одно из естественных преимуществ Интернета — анонимность [8] . На данный момент, если на компьютере нет троянских программ, в программном обеспечении нет явных ошибок, а cookie удалены, единственным идентификатором пользователя остаётся IP-адрес и заголовки HTTP. Наряду с повышением безопасности, наличие модуля TPM может иметь негативный эффект на свободу слова, что особенно актуально для развивающихся стран. Чтобы понять, к чему может привести удалённо читаемый и неизменяемый идентификатор компьютера, достаточно вспомнить аналогичную проблему с идентификационным номером процессора Pentium III.

Потенциальная угроза свободной конкуренции [ править | править код ]

Программа, ставшая лидером отрасли (как AutoCAD, Microsoft Word или Adobe Photoshop), может установить шифрование на свои файлы, делая невозможным доступ к этим файлам посредством программ других производителей, создавая, таким образом, потенциальную угрозу свободной конкуренции на рынке прикладного ПО. [8]

Проблемы неисправности модуля TPM [ править | править код ]

В случае неисправности модуля TPM-контейнеры, защищённые им, становятся недоступными, а данные, находящиеся в них — невосстановимыми. Для полной гарантии восстановления данных в случае порчи модуля TPM необходимо осуществлять сложную процедуру резервного копирования. Для обеспечения секретности система резервного копирования (backup) также должна иметь собственные TPM-модули.

Взломы [ править | править код ]

На конференции по компьютерной безопасности Black Hat 2010 было объявлено о взломе чипа Infineon SLE66 CL PE, изготовленного по спецификации TPM. [13] Данный чип используется в компьютерах, оборудовании спутниковой связи и игровых приставках. Для взлома использовался электронный микроскоп (стоимостью около $70 000). Оболочка чипа была растворена кислотой, для перехвата команд были использованы мельчайшие иголки. В Infineon утверждают, что они знали о возможности физического взлома чипа. Борчерт (Borchert), вице-президент компании, заверил, что дорогое оборудование и техническая сложность взлома не представляет опасности для подавляющего большинства пользователей чипов.

Простой компьютерный блог для души)

Всем привет. Говорим про биос, а вернее о пункте в нем под названием Intel Platform Trust Technology. Итак, я пошел в поисковик искать информацию своими секретными способами. Значит ребята нашел инфу одну, но она на английском. Я в гугловском переводчике перевел, но все равно не все понятно…

Короче тема такая. Пункт Intel Platform Trust Technology включает какой-то виртуальный TMP, так вот, пишется что версия, которая эмулируется, может быть 2.0, и вот прикол в том что она не поддерживается в Windows 7 и поэтому будет неопознанное устройство. Пишется, что можно скачать обновление для винды, неопознанное устройство пропадет, но сама штука TMP все равно работать не будет. Это все относится к ПК с поддержкой TPM v2.0, с версией TPM v1.2 все нормально и Windows 7 поддерживает. Я понимаю что понятного тут мало, но примерно кое как образно я думаю все же понятно.

Так ребята, вот еще раскопал инфу. Короче Trusted Platform Module это и есть TPM. И это какой-то криптопроцессор, в котором хранятся криптографические ключи для защиты информации. То есть это какое-то хранилище паролей и ключей шифрования. Блин, скажу честно, это непонятная дичь.

В общем пока мое мнение такое, что пункт Intel Platform Trust Technology в биосе включает то, без чего можно жить спокойно. Эта штука TPM она нужна для защиты инфы, все верно, но знаете что именно это имеется ввиду? Вот читаю, что это может быть использовано для проверки легального использования защищенного цифрового контента, например музыка. Штука TPM может работать нормально только если есть аппаратная поддержка и программная.

Читайте также:  Графический метод решения задач оптимизации

Ну а вот ребята этот пункт в биосе, гляньте:

Вот еще примерчик, смотрите:

Ну а вот ребята уже новый модный биос и здесь тоже есть пункт Intel Platform Trust Technology:

Если у вас Windows 10 стоит и если есть этот модуль TPM, то у вас в диспетчере устройств он будет вот так отображаться:

А если нажать правой кнопкой и выбрать пункт Свойства, то будет такое окошко:

Да, все верно, я вот читаю, что драйвер TPM для Windows 7 есть, но все равно работать все четко не будет. Мое мнение что лучше вообще отключить Intel Platform Trust Technology в биосе..

Тем не менее господа, я нашел обновление, которое типа добавляет поддержку TPM 2.0 в Windows 7, скачать его можно отсюдова:

Можете попробовать скачать, особого смысла я лично в этом не вижу, но все же. И еще, я это обновление не ставил, у меня вообще Windows 10 и я не знаю поможет оно убрать неопознанное устройство или нет, но думаю что поможет =)

Господа, на этом все, информационный штурм окончен. Удачи вам и позитивных эмоций в жизни!

Intel Platform Trust Technology что это в биосе? : 10 комментариев

Недавно разбирался с модулями TPM, т.к. у одного клиента крупный заказ на ПК с этими модулями.

Модули, которые мы ставили, производства ASRock, под разъем TPM-S, сами материнки тоже ASRock. Хотя матери могут быть другие, главное, чтобы разъем был TPM-S. У Асуса, например, другой разъем, TPM-M. Хотя и модули ТРМ они свои выпускают.

Основная фишка следующая. В процессорах Intel Core, начиная с 4-го поколения, есть свой встроенный модуль TPM стандарта TPM 2.0. Эта технология называется Intel Platform Trust Technology (РТТ). Ее можно включить или отключить в БИОСе. Если ее включить и также включить в БИОСе поддержку TPM, то увидите, что у вас в системе имеется модуль TPM 2.0. Даже если отдельный модуль в материнку не вставлен.

У этого встроенного модуля, если смотреть в оснастке tpm.msc, производитель INTC (видимо, Intel Corporation) и стандарт 2.0.

Если ставите в материнку отдельный модуль TPM и хотите работать с ним, нужно отключать РТТ в БИОСе, а поддержку ТРМ оставлять включенной.

В нашем случае при этом в tpm.msc было видно, что производитель модуля WEC, версия 3.91 и стандарт 1.2. Windows 8 и 10 тоже спокойно работают с 1.2, как и Windows 7.

В общем-то, как раз в Windows 8 и 10 никаких проблем нет ни со встроенным модулем РТТ ТРМ, ни с отдельным. Есть проблема с РТТ ТРМ в Windows 7, и она нерешаемая. То есть заставить этот модуль работать в Windows 7 никак не получится.

Windows, как известно, можно поставить на диск в одном из двух режимов — MBR или GPT. Если системный диск в режиме MBR, режим загрузки Windows называется Legacy mode, если системный диск GPT, загрузка происходит в режиме UEFI.

Так вот, модуль РТТ ТРМ не хочет работать в Windows 7 на диске MBR. Когда семерку только ставишь на диск, она не понимает, что это за устройство и игнорирует его. Установка проходит, загрузка идет нормально, вроде все хорошо. Но как только ставишь обновление KB2920188 и перегружаешься (оно это требует), при перезагрузке система зависает. И все, пока РТТ в БИОСе не отключишь, Windows больше не загрузится.

Можно поставить Windows 7 в GPT. В этом случае РТТ ТРМ вроде бы работает и не мешает системе. Установка KB2920188 проходит без проблем. Модуль видится в tpm.msc. Его можно очистить или инициализировать при необходимости. В этой оснастке после этого будет показываться, что модуль функционирует и готов к работе.

Но как только пытаешься включить BitLocker, получаешь полный облом. BitLocker выдает «Диспетчер загрузки данной операционной системы несовместим с шифрованием диска BitLocker. Обновите или исправьте диспетчер загрузки (BOOTMGR) с помощью средства Bootrec.exe в среде восстановления Windows.»

То есть, хотя сама Windows 7 нормально работает с GPT диска, долбанный семерочный BitLocker не понимает GPT! И все, на этом полный затык со встроенным модулем ТРМ. При использовании семерки приходится его отключать.

Поэтому внешний модуль очень выручает в случае Windows 7. Он нормально работает, когда семерка грузится с MBR. И BitLocker нормально включается и шифрует диск. Он не такой продвинутый, как в Win 8 и 10, шифрует сразу весь диск, а не только занятое пространство. Поэтому шифрование происходит довольно долго. Но потом все работает нормально.

Почему нужно обязательно отключать РТТ при наличии внешнего модуля ТРМ? Потому что РТТ имеет приоритет над внешним, и, если его не отключить, вы будете видеть в системе не внешний модуль, а встроенный. Из двух виден только один, видимо, стандарт так устроен, что вы можете иметь не более одного активного модуля ТРМ. Возможно, вы будете ошибочно считать, что работаете с внешним модулем, а по факту обращаетесь к встроенному.

Вот такая инфа. Думаю, кому-нибудь может пригодиться. Про РТТ вообще в инете мало что нагугливается. А тут живой опыт &#128578;

Спасибо за комментарий такой развернутый. Уверен, что эта информация будет полезна. Вы внесли вклад информационный в сайт))) Я просто уставший, спасибо мое реальное! &#128578;

Да, я забыл еще написать. РТТ не работает с MBR диском и в случае Windows 8.1 и 10 тоже.

В отличие от 7ки, когда ставишь 10ку в MBR, сразу после начального копирования файлов и перезагрузки винда сваливается в синий экран с ошибкой Memory Management. Видимо, потому что в системе уже есть драйвер этого устройства, и винда пытается его задействовать. В 8ке похожая картина.

Если системный диск GPT, все отлично работает в 8ке и 10ке.

Так что отдельный модуль еще будет полезен, если в 10ке или 8ке вам нужно шифрование диска, но по какой-то причине он должен быть MBR.

Спасибо вам ОГРОМНОЕ!

Я сегодня прочитал все таки все что вы написали. Я так понимаю, что ТРМ это аппаратное выполнение части алгоритма (вроде AES). И вот тут только один вопрос. Ведь AES участвует в шифровании. Но это никак не относится к архиваторам, они не будут быстрее сжимать, верно? Но при этом HTTPS вроде должно работать лучше, мне так показалось. Думаю что легче было бы понять, где вообще используется AES, а то их, насколько я знаю есть несколько ходовых алгоритмов.

Это шифрование, но не AES, а по более сильному алгоритму — RSA. Насколько я понимаю, в случае ТРМ все эти операции — генерация и хранение ключей, шифрование и т.д. — производятся с целью удостовериться, что вся работа происходит на доверяемой системе. То есть происходит увязка всех аппаратных и программных средств в единое целое с использованием криптографии.

Если после этого, например, переставить жесткий диск в другую систему, то прочитать его будет невозможно. Хотя мне лично непонятно, что мешает также и ТРМ модуль с собой забрать, раз уж злоумышленник получил физический доступ к компьютеру. Вроде этот стандарт предусматривает защиту и от таких ситуаций. Но я глубоко не вникаю, ясно, что обычным пользователям эта фича абсолютно не нужна.

Аппаратная поддержка AES в процессоре, на мой взгляд, более полезна. Протокол AES применяется в ситуациях, более близких к реальной жизни. Например, при работе Wi-Fi и при установке защищенного соединения VPN.

Спасибо за ответ

Продолжение экспериментов показало, что все вышеописанное относится только к материнкам ASRock. На MSI и Asus все замечательно работает на любой ОС — 7, 8.1 или 10. Что РТТ, что отдельный ТРМ.

Также протестировал встроенный ТРМ у AMD Ryzen. Там эта технология называется AGESA. Работает. Правда, удалось прогнать тест только на Windows 10.

Да, дополню. Я считаю, если вам не нужно шифрование диска с помощью BitLocker, то и ТРМ вам вообще не нужен. Нормальным людям нет смысла шифровать свой диск, это только где-нибудь в корпоративе требуется, да и то редко.

Поэтому стоит отключить в БИОСе как Platform Trust Technology, так и всю поддержку TPM.

Плюс в карму обеспечен

Если я правильно понял, то для работы с Ubuntu этот модуль можно отключить? Так?