Trusted platform module

Возможные применения

Аутентификация

TPM представляет собой токен аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам. Это может использоваться, например, при защите электронной почты, основанной на шифровании или для подписания цифровых сертификатов, привязанных к TPM. Отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN доступа.

Защита данных от кражи

Это является основным назначением «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера.

Преимущества:

Улучшение производительности

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности.

Усиление безопасности

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

Низкие издержки использования

Не требуются модификации операционной системы, приложений и т. д. Для шифрования не используются ресурсы центрального процессора.

Большие перспективы имеет связка TPM+Bitlocker. Такое решение позволяет прозрачно от ПО шифровать весь диск.

Управление доступом к сети (NAC)

TPM может подтверждать подлинность компьютера и даже его работоспособность ещё до получения доступа к сети и, если необходимо, помещать компьютер в карантин.

Защита ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства, а программы, требующие особой осторожности, наподобие банковских и почтовых клиентов, — от намеренной модификации. Сразу же будет пресечено добавление «троянского коня» в устанавливаемом приложении.

Защита от копирования

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.

Краткий обзор

Trusted Platform Module (TPM), содержащий в себе криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи, так и для шифрования/дешифрования) с той же степенью неповторяемости, что и генератор случайных чисел. Также этот модуль имеет следующие возможности: удалённую аттестацию, привязку и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. DRM). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют.

Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система.

Зачем нужен TPM?Why TPM?

Компьютеры, включающие доверенный платформенный модуль, могут создавать криптографические ключи и шифровать их, чтобы их можно было расшифровать только с помощью доверенного платформенного модуля.Computers that incorporate a TPM can create cryptographic keys and encrypt them so that they can only be decrypted by the TPM. Этот процесс, часто называемый «переносом » или «привязкой» ключа, может помочь защитить ключ от раскрытия.This process, often called «wrapping» or «binding» a key, can help protect the key from disclosure. Каждый доверенный платформенный модуль имеет первичный ключ для переноса, называемый корневым ключом хранилища, который хранится в самом доверенном платформенном модуле.Each TPM has a primary «wrapping» key, called the storage root key, which is stored within the TPM itself. Частная часть ключа, созданного в доверенном платформенном модуле, никогда не предоставляется другим компонентам, программному обеспечению, процессу или человеку.The private portion of a key created in a TPM is never exposed to any other component, software, process, or person.

Компьютеры, включающие доверенный платформенный модуль, могут также создать ключ, который не только был упакован, но также привязан к определенным измерениям платформы.Computers that incorporate a TPM can also create a key that has not only been wrapped but is also tied to certain platform measurements. Этот тип ключа может быть развернут только в том случае, если эти измерения платформы имеют те же значения, что и при создании ключа.This type of key can only be unwrapped when those platform measurements have the same values that they had when the key was created. Этот процесс называется «запечатыванием» ключа для доверенного платформенного модуля.This process is called «sealing» the key to the TPM. Расшифровка ключа называется «расзапечатыванием».Decrypting the key is called «unsealing». TPM также может запечатывать и распечатывать данные, созданные за пределами доверенного платформенного модуля.The TPM can also seal and unseal data generated outside of the TPM. Благодаря этому закрытому ключу и программному обеспечению, например шифрование диска BitLocker, можно блокировать данные до тех пор, пока не будут выполнены определенные условия оборудования или программного обеспечения.With this sealed key and software such as BitLocker Drive Encryption, you can lock data until specific hardware or software conditions are met.

При использовании доверенного платформенного модуля частные части пар ключей хранятся отдельно от памяти, контролируемой операционной системой.With a TPM, private portions of key pairs are kept separate from the memory controlled by the operating system. Ключи могут быть запечатаны в доверенный платформенный модуль, и определенные гарантии состояния системы (гарантии, определяющие надежность системы) можно выполнить до того, как ключи будут распечатаны и освобождены для использования.Keys can be sealed to the TPM, and certain assurances about the state of a system (assurances that define the «trustworthiness» of a system) can be made before the keys are unsealed and released for use. Поскольку TPM использует собственное внутреннее встроенное по и логические цепи для выполнения инструкций по обработке, он не зависит от операционной системы и не предоставляется уязвимостям, которые могут существовать в операционной системе или программном обеспечении приложения.Because the TPM uses its own internal firmware and logic circuits for processing instructions, it does not rely on the operating system and is not exposed to vulnerabilities that might exist in the operating system or application software.

Критика

Проблема «доверия»

Trusted Platform Module критикуется некоторыми IT-специалистами за название. Доверие (англ. trust) всегда должно быть обоюдным, в то время как разработчики TPM пользователю не доверяют, что приводит к ущемлению свободы. По мнению отдельных IT-специалистов, для доверенных вычислений больше подходит название «вероломные вычисления» (англ. treacherous computing), поскольку наличие модуля гарантирует обратное — систематический выход компьютера из подчинения. Фактически, компьютер перестает функционировать в качестве компьютера общего назначения, поскольку любая операция может потребовать явного разрешения владельца компьютера.

Потеря «владения» компьютером

Владелец компьютера больше не может делать с ним всё, что угодно, поскольку передает часть своих прав производителям программного обеспечения. В частности, TPM может мешать (из-за ошибок в ПО или намеренного решения разработчиков):

  • переносить данные на другой компьютер;
  • свободно выбирать программное обеспечение для своего компьютера;
  • обрабатывать имеющиеся данные любыми доступными программами.
Потеря анонимности

Компьютер, оборудованный TPM, имеет уникальный идентификатор, зашитый в чипе. Идентификатор известен производителю программного обеспечения и его невозможно изменить. Это ставит под угрозу одно из естественных преимуществ Интернета — анонимность. На данный момент, если на компьютере нет троянских программ, в программном обеспечении нет явных ошибок, а cookie удалены, единственным идентификатором пользователя остается IP-адрес и заголовки HTTP. Наряду с повышением безопасности, наличие модуля TPM может иметь негативный эффект на свободу слова, что особенно актуально для развивающихся стран. Чтобы понять, к чему может привести удалённо читаемый и неизменяемый идентификатор компьютера, достаточно вспомнить аналогичную проблему с идентификационным номером процессора Pentium III.

Потенциальная угроза свободной конкуренции

Программа, ставшая лидером отрасли (как AutoCAD, Microsoft Word или Adobe Photoshop), может установить шифрование на свои файлы, делая невозможным доступ к этим файлам посредством программ других производителей, создавая, таким образом, потенциальную угрозу свободной конкуренции на рынке прикладного ПО.

Проблемы неисправности модуля TPM

В случае неисправности модуля TPM-контейнеры, защищённые им, становятся недоступными, а данные, находящиеся в них — невосстановимыми. Для полной гарантии восстановления данных в случае порчи модуля TPM необходимо осуществлять сложную процедуру резервного копирования. Для обеспечения секретности система резервного копирования (backup) также должна иметь собственные TPM-модули.

ВЫПОЛНЕНИЕ КАБЕЛЬНЫХ СОЕДИНЕНИЙ РАСПРЕДЕЛИТЕЛЯ TPM

В распределителях типа TPM можно использовать присоединительные муфты всех ведущих производителей (CELLPACK, 3M, Nexans, Tyco Electronics, F&G, ABB).В распределителе ТРМ — Р применена система позволяющая монтировать кабельные простые муфты, обычно используемые в распределительных устройствах в воздушной изоляции, что позволяет инвесторам снизить расходы установки распределителя. Детальный список муфт, какие можно использовать в распределителях типа ТРМ находится в нижеприведенной таблице.

Кабельные муфты для ТРМ с высотой 1275 мм, а также ТРМ Kompakt – линейная ячейка (L), выключательная ячейка

Тип кабеля:Одножильный Поливинилхлоридный np. YHAKXs, YHKX, XUHAKXs, XRUHKs, …

Концевая муфта
Производитель Тип Сечение кабеля (мм2)
Cellpack CTS 24кВ 630A CTS 24кВ 630A 25-70 95-240
Nexans (Euromold) K400LB K430TB K484TB 35-300 35-300 35-300
Tyco Electronics (Raychem) RSTI-5851 RSTI-5854 RSTI-5855 35-70 95-240 185-300

Кабельные муфты ТРМ с высотой 1275 мм — трансформаторная ячейка

Тип кабеля:Одножильный Поливинилхлоридный np. YHAKXs, YHKX, XUHAKXs, XRUHKs, …

Концевая муфта
Производитель Тип Сечение кабеля (мм2)
3 M 93-EE 825-2/70 70
ABB SEHDW 21.1 SEHDW 21 25-70 95-150
Cellpack CWS 250A CWS 250A 16-95 70-150
Nexans (Euromold) K158LR W X + 11TL 25-120
Tyco Electronics (Raychem) RSES 5227-R 35-70

Концевая муфта, линейная ячейка (L)TPM и TPM-C , а также выключательная ячейка(W)TPM

Тип кабеля:Одножильный Поливинилхлоридный np. YHAKXs, YHKX, XUHAKXs, XRUHKs, …

Концевая муфта
Производитель Тип Сечение кабеля (мм2)
3 M 93-EE935-4/120 93-EE955-4/185 93-EE965-4/240 120 185 240
ABB SET (Um ≤ 24 кВ) SEHDT 23 35-240 300-500
Cellpack CTS 630A CTS 630A 25-70 95-240
Nexans (Euromold) K400LB K400TB K430TB K440TB K484TB 25-300 25-300 25-300 185-630 35-300
Tyco Electronics (Raychem) POLT-24D/1XI + RICS 5133* POLT-24D/1XI + RICS 5139* POLT-24D/1XI + RICS 5143* POLT-24D/1XI + RICS 5149* RSTI-5851 RSTI-5854 RSTI-5855 120-185 120-185 240-300 240-300 35-70 95-240 185-300

* — для работы с напряжением до 24 кВ в линейных ячейках распределителей ТРМ с линейным размещением проходных изоляторов типа С   — для работы с напряжением 15кВ в линейных ячейках распределителей ТРМ с трехугольным размещением проходных изоляторов типа С (детали в техпаспорте устройства)

Кабельные муфты, линейная ячейка TPM-P

Тип кабеля:Одножильный Поливинилхлоридный np. YHAKXs, YHKX, XUHAKXs, XRUHKs, …

Концевая муфта
Производитель Тип Адаптер Сечение кабеля (мм2)
Nexans (Euromold) ITK 224 15TS/NSS 25-240
Tyco Electronics (Raychem) POLT-24D/1XI RCAB 70-240

Кабельные муфты, трансформаторная ячейка(Т)

Тип кабеля:Одножильный Поливинилхлоридный np. YHAKXs, YHKX, XUHAKXs, XRUHKs, …

Концевая муфта
Производитель Тип Сечение кабеля (мм2)
3 M 93-EE 820-2/70 (прямая) 93-EE 825-2/70 (угловая) 70 70
ABB SEHDW 21.1 SEHDW 21 25-70 95-150
Cellpack CWS 250A (угловая) CWS 250A (угловая) CGS 250A (прямая) CGS 250A (прямая) 16-95 70-150 25-95 70-150
Nexans (Euromold) K152SR W X + 11TL (прямая) K158LR W X + 11TL (угловая) 25-120 25-120
Tyco Electronics (Raychem) RSSS 5227-R (прямая) RSES 5227-R (угловая) 70 70

1 Включение модуля TPM в BIOS компьютера

Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется «Security». В этом разделе должна быть опция, которая называется «Security Chip».

Настройки безопасности в BIOS

Модуль может находиться в трёх состояниях:

  • Выключен (Disabled).
  • Включён и не задействован (Inactive).
  • Включён и задействован (Active).

В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».

Тут же в настройках можно очистить старые ключи, сгенерированные чипом.

Очистка памяти чипа TPM

Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).

Теперь сохраните изменения («Save and Exit» или клавиша F10) и перезагрузите компьютер.

После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».

Чип TPM в диспетчере устройств Windows

Why TPM 2.0?

TPM 2.0 products and systems have important security advantages over TPM 1.2, including:

  • The TPM 1.2 spec only allows for the use of RSA and the SHA-1 hashing algorithm.

  • For security reasons, some entities are moving away from SHA-1. Notably, NIST has required many federal agencies to move to SHA-256 as of 2014, and technology leaders, including Microsoft and Google have announced they will remove support for SHA-1 based signing or certificates in 2017.

  • TPM 2.0 enables greater crypto agility by being more flexible with respect to cryptographic algorithms.

    • TPM 2.0 supports newer algorithms, which can improve drive signing and key generation performance. For the full list of supported algorithms, see the TCG Algorithm Registry. Some TPMs do not support all algorithms.

    • For the list of algorithms that Windows supports in the platform cryptographic storage provider, see CNG Cryptographic Algorithm Providers.

    • TPM 2.0 achieved ISO standardization (ISO/IEC 11889:2015).

    • Use of TPM 2.0 may help eliminate the need for OEMs to make exception to standard configurations for certain countries and regions.

  • TPM 2.0 offers a more consistent experience across different implementations.

    • TPM 1.2 implementations vary in policy settings. This may result in support issues as lockout policies vary.

    • TPM 2.0 lockout policy is configured by Windows, ensuring a consistent dictionary attack protection guarantee.

  • While TPM 1.2 parts are discrete silicon components which are typically soldered on the motherboard, TPM 2.0 is available as a discrete (dTPM) silicon component in a single semiconductor package, an integrated component incorporated in one or more semiconductor packages — alongside other logic units in the same package(s) — and as a firmware (fTPM) based component running in a trusted execution environment (TEE) on a general purpose SoC.

Note

TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. The Legacy and Compatibility Support Module (CSM) options must be disabled. For added security Enable the Secure Boot feature.

TPM 2.0 Compliance for Windows 10

Windows 10 for desktop editions (Home, Pro, Enterprise, and Education)

Since July 28, 2016, all new device models, lines or series (or if you are updating the hardware configuration of a existing model, line or series with a major update, such as CPU, graphic cards) must implement and enable by default TPM 2.0 (details in section 3.7 of the Minimum hardware requirements page). The requirement to enable TPM 2.0 only applies to the manufacturing of new devices. For TPM recommendations for specific Windows features, see TPM and Windows Features.

Windows Server 2016

TPM is optional for Windows Server SKUs unless the SKU meets the additional qualification (AQ) criteria for the Host Guardian Services scenario in which case TPM 2.0 is required.

Доверенная платформа (англ. The trusted Platform)

Идея доверенной платформы или платформы, которой можно доверять (её ожидаемое поведение всегда совпадает с реальным), основана на понятии «корень доверия» (англ. Root of Trust) — набор компонентов, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR). RTM — вычислительный механизм, который производит надёжные измерения целостности платформы. RTS — вычислительный механизм, способный хранить хэши значений целостности. RTR — механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хэши этих измерений — «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хэш измеренных значений с хэшом доверенного состояния платформы, можно судить о целостности системы.

TPM solutions available on Windows IoT Core

A few words about Software TPM (sTPM), Firmware TPM (fTPM), Discrete TPM (dTPM)…

Firmware TPM (fTPM)

Firmware TPM (fTPM) requires special Processor/SoC support that is not currently implemented on Raspberry Pi 2 or 3. MinnowBoard Max needs firmware version 0.80 or higher. DragonBoard410c provides fTPM capabilities out of the box enabled by default.

Discrete TPM (dTPM)

Discrete TPM (dTPM) is considered the utmost trustworthy solution by all means.
There are several manufacturers of dTPM chips and PCB modules that are supported on Windows IoT Core:

Software TPM (sTPM)

Software TPM (sTPM) is also referred to as TPM Simulator. It is platform-independent, supported on Windows IoT Core.

Note

sTPM is intended for development purposes only and does not provide any real security benefits.

Practical applications

Certificates can be installed or created on computers that are using the TPM. After a computer is provisioned, the RSA private key for a certificate is bound to the TPM and cannot be exported. The TPM can also be used as a replacement for smart cards, which reduces the costs associated with creating and disbursing smart cards.

Automated provisioning in the TPM reduces the cost of TPM deployment in an enterprise. New APIs for TPM management can determine if TPM provisioning actions require physical presence of a service technician to approve TPM state change requests during the boot process.

Antimalware software can use the boot measurements of the operating system start state to prove the integrity of a computer running Windows 10 or Windows Server 2016. These measurements include the launch of Hyper-V to test that datacenters using virtualization are not running untrusted hypervisors. With BitLocker Network Unlock, IT administrators can push an update without concerns that a computer is waiting for PIN entry.

The TPM has several Group Policy settings that might be useful in certain enterprise scenarios. For more info, see TPM Group Policy Settings.

Направления развертывания TPM

Как правило, ТРМ развертывается по восьми направлениям, первые четыре из которых напрямую связаны с производственным сектором, а вторые четыре касаются непроизводственных подразделений предприятия.

  • Первое — это преобразование оборудования, реализация отдельных улучшений, которые направлены на повышение качества его обслуживания.
  • Второе направление, является «золотым стержнем», т.е. основным в ТРМ-системе — это организация самостоятельного обслуживания оборудования операторами. Его смысл заключается в переходе к действующему обслуживанию оборудования лично оператором.
  • Третье направление — формирование планового обследования оборудования, используя силы службы главного механика. Его суть в том, чтобы самым лучшим способом, совмещая разные виды обслуживания, создать условия для наиболее эффективной эксплуатации оборудования при минимальных расходах.
  • Четвертое направления — гарантия стабильного роста квалификации и мастерства работников, без которого цели ТРМ просто не будут реализованы. В данном случае категорически нельзя полагаться на мысль о том, что автоматизированное оборудование само производит продукцию, а мастер только следит за его работой и обеспечивает поступление материалов, т.е. осуществляет простые операции, которые не требуют специальной подготовки.
  • Пятое — разработка системы управления оборудованием на первоначальном этапе его работы и системы формирования новых изделий. Это дает возможность объединить процессы создания легкого в изготовлении продукта и легкого в использовании оборудования, что намного сокращает время появления новых производственных линий и сроки выхода новых изделий на рынок.
  • Шестое направление — формирование системы обслуживания, которая направлена на поддержание качества продукции, основывается на изготовлении оборудования и поддержание условий его эксплуатации, при которых исключается выпуск бракованной продукции.
  • Седьмое направление – увеличение качества функционирования конструкторских, коммерческих и других непроизводственных подразделений, а также помощь производственным подразделениям в повышении результативности их работы.
  • Восьмое – формирование системы, поддерживающей благоприятную окружающую среду и безопасные условия труда.

Развертывание того или иного направления зависит от предприятия, которое приступает к введению систем ТРМ, т.е. оно самостоятельно определяет, какие направления и каким образом оно будет развертывать. Однако, по словам специалистов, синергетический эффект и сокращение сроков развертывания всей системы могут быть достигнуты при условии синхронизированного движения по всем выбранным направлениям. Осуществить такой способ практически невозможно. На сегодняшний день система ТРМ получила широкое распространение во всем мире, практически приобретая статус международного стандарта. Однако российских предприятий, которые приступили к ее освоению, практически нет.

Взломы [ править | править код ]

На конференции по компьютерной безопасности Black Hat 2010 было объявлено о взломе чипа Infineon SLE66 CL PE, изготовленного по спецификации TPM. Данный чип используется в компьютерах, оборудовании спутниковой связи и игровых приставках. Для взлома использовался электронный микроскоп (стоимостью около $70 000). Оболочка чипа была растворена кислотой, для перехвата команд были использованы мельчайшие иголки. В Infineon утверждают, что они знали о возможности физического взлома чипа. Борчерт (Borchert), вице-президент компании, заверил, что дорогое оборудование и техническая сложность взлома не представляет опасности для подавляющего большинства пользователей чипов.

Тип материала Установка и настройка

Идентификатор статьи 000007452

Последняя редакция 14.11.2019

Основные

  • Модуль доверенной платформы (TPM 2,0) — TPM 2,0 — это микроконтроллер, хранящий ключи, пароли и Цифровые сертификаты. Дискретный платформенный модуль 2,0 также поддерживает технологию Intel vPro и технологию Intel Trusted Execution Technology (Intel TXT).
  • Технология intel Platform Trust Technology (intel PTT) — Технология Intel Platform Trust Technology (Intel PTT) предлагает возможности дискретного TPM 2,0. Intel PTT — это функциональная платформа для хранения учетных данных и управления ключами, используемыми Windows 8 * и Windows 10. Intel PTT поддерживает BitLocker * для шифрования жестких дисков и поддерживает все требования Microsoft к модулю программно-аппаратной платформы для доверенного микрокода (fTPM) 2,0.

Узнайте, поддерживает ли ваш NUC эти технологии

Using TPM 1.2

Drivers

TPM drivers are natively supported in modern kernels, but might need to be loaded:

# modprobe tpm

Depending on your chipset, you might also need to load one of the following:

# modprobe -a tpm_{atmel,infineon,nsc,tis,crb}

Usage

TPM 1.2 is managed by , a userspace daemon that manages Trusted Computing resources and should be (according to the TSS spec) the only portal to the TPM device driver. is part of the AUR AUR package, which was created and released by IBM, and can be configured via .

To start tcsd and watch the output, run:

# tcsd -f

or simply start and enable .

Once is running you might also want to install AUR which provides many of the command line tools for managing the TPM.

Some other tools of interest:

tpmmanager — A Qt front-end to tpm-tools

opencryptoki — A PKCS#11 implementation for Linux. It includes drivers and libraries to enable IBM cryptographic hardware as well as a software token for testing.

Basics

Start off by getting basic version info:

$ tpm_version

and running a selftest:

$ tpm_selftest -l info
TPM Test Results: 00000000 ...
tpm_selftest succeeded

Securing SSH Keys

There are several methods to use TPM to secure keys, but here we show a simple method based on AUR.

First, create a new directory and generate the key:

$ mkdir ~/.simple-tpm-pk11
$ stpm-keygen -o ~/.simple-tpm-pk11/my.key

Point the config to the key:

~/.simple-tpm-pk11/config
key my.key

Now configure SSH to use the right PKCS11 provider:

~/.ssh/config
Host *
    PKCS11Provider /usr/lib/libsimple-tpm-pk11.so

It is now possible to generate keys with the PKCS11 provider:

$ ssh-keygen -D /usr/lib/libsimple-tpm-pk11.so

Note: This method currently does not allow for multiple keys to be generated and used.

Accessing PCR registers

Platform Configuration Registers (PCR) contain hashes that can be read at any time but can only be written via the extend operation, which depends on the previous hash value, thus making a sort of blockchain. They are intended to be used for platform hardware and software integrity checking between boots (e.g. protection against Evil Maid attack). They can be used to unlock encryption keys and proving that the correct OS was booted.

PCR Use Notes
PCR0 Core System Firmware executable code (aka Firmware) May change if you upgrade your UEFI
PCR1 Core System Firmware data (aka UEFI settings)
PCR2 Extended or pluggable executable code
PCR3 Extended or pluggable firmware data Set during Boot Device Select UEFI boot phase
PCR4 Boot Manager
PCR5 GPT / Partition Table
PCR6 Resume from S4 and S5 Power State Events
PCR7 Secure Boot State
PCR 8 to 10 Reserved for Future Use
PCR11 BitLocker Access Control
PCR12 Data events and highly volatile events
PCR13 Boot Module Details
PCR14 Boot Authorities
PCR 15 to 23 Reserved for Future Use

AUR facilitates this check with an human observer and dedicated trusted devise.

# cat /sys/kernel/security/tpm0/ascii_bios_measurements

Восемь принципов TPM

  1. Непрерывное улучшение: нацеленное на практику предотвращение 7 видов потерь.
  2. Автономное содержание в исправности: оператор обрудования должен самостоятельно проводить осмотр, работы по чистке, смазочные работы, а также незначительные работыпо технического обслуживанию.
  3. Планирование технического обслуживания: обеспечение 100%-й готовности оборудования, а также проведение мероприятий кайдзен в области технического обслуживания.
  4. Тренировка и образование: сотрудники должны быть обучены в соответствии с требованиями по улучшению квалификации для эксплуатации и технического ухода за обрудованием.
  5. Контроль запуска: реализовать вертикальную кривую запуска новой продукции и обрудования.
  6. Менеджмент качества: реализация цели «нулевые дефекты в качестве» в изделиях и обрудовании.
  7. TPM в административных областях: потери и расточительство устраняются в непрямых производственных подразделениях.
  8. Безопасность труда, окружающая среда и здравоохранение: требование преобразование аварий на предприятии в нуль.

Автономное содержание в исправности – важнейший принцип TPM. Ее цель минимизировать потери эффективности, которые возникают из-за отказов устройств, коротких остановок, брака и т. д. Для этого все большая часть необходимой деятельности по техническому обслуживанию (чистка, смазка, технический осмотр устройств) упрощается, стандартизируется и постепенно передается на места в обязанности сотрудников. Вследствие этого сотрудники отдела главного механика освобождаются, с одной стороны, от текущей рутинной деятельности, так что они получают большее время для разработки и проведения мер по улучшению. С другой стороны, теперь оборудование (устройства) могут обеспечиваться необходимым техническим обслуживанием, которая ранее не могла предоставляться в распоряжение вообще либо своевременно из-за отсутствия надлежащих ресурсов.

Концепция TPM разработана в Японии в конце 60- начале 70-х годов в фирме «Ниппон Дэнсо», поставщике электрооборудования для корпорации Тойота, во взаимосвязи с формирование Производственной системы Тойота (TPS). В начале 90-х годов прошлого столетия TPM в разных вариантах внедрялась на предприятиях всего мира. Известно утверждение основателя TPS Тайити Оно: «Силы Тойота приходят не благодаря излечению процессов, а благодаря предупредительному техническому обслуживанию оборудования». Опыт российский и мировых компаний по внедрению и использованию системы TPM вы можете найти в Альманахе «Управление производством».

Внедрение метода Всеобщего ухода за оборудованием в TPS описывается последовательностью, представленной на схеме 2.

Схема 2. Системный образ действий при внедрении ТРМ в Производственной системы Тойота.

Как эффективный инструмент бережливого производства метод Всеобщего ухода за оборудованием в последнее время активно внедряется в России на многих предприятиях — Ярославском шинном заводе (холдинг «СИБУР-Русские шины»), Чепецком механическом заводе, Челябинском заводе по производству пластиковых окон (ООО «Эталон»), кондитерской фабрике ОАО «Большевик» в Москве и др. 

Виртуальная смарт-карта на основе TPMTPM-based Virtual Smart Card

Виртуальная смарт-карта эмулирует функции традиционных смарт-карт, но виртуальные смарт-карты используют микросхему TPM, доступную на компьютерах организации, вместо использования отдельной физической смарт-карты и средства чтения.The Virtual Smart Card emulates the functionality of traditional smart cards, but Virtual Smart Cards use the TPM chip that is available on an organization’s computers, rather than requiring the use of a separate physical smart card and reader. Это значительно сокращает затраты на управление и развертывание смарт-карт на предприятии.This greatly reduces the management and deployment cost of smart cards in an enterprise. Для пользователя виртуальная смарт-карта всегда доступна на компьютере.To the end user, the Virtual Smart Card is always available on the computer. Если пользователю необходимо использовать несколько компьютеров, для каждого компьютера пользователю должна быть выдана виртуальная смарт-карта.If a user needs to use more than one computer, a Virtual Smart Card must be issued to the user for each computer. На компьютере, совместном с несколькими пользователями, может быть несколько виртуальных смарт-карт, по одной для каждого пользователя.A computer that is shared among multiple users can host multiple Virtual Smart Cards, one for each user.

2 Инициализация модуля TPM в Windows

Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM. Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».

Здесь, кстати, можно почитать дополнительную информацию – что такое TPM, когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.

В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.

Оснастка для управления чипом TPM

Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант «Автоматически создать пароль».

Инициализация модуля TPM через оснастку

Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.

Пароль TPM сгенерирован, инициализация

По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.

Пароль владельца для TPM создан

Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).

Инициализация TPM завершена

Собственно, на этом заканчиваются возможности управления модулем TPM. Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.

Все про BIOS

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий