TPM modülünün işlevleri. Windows Vista'da TPM Hizmetlerinin Kullanımı için Adım Adım Kılavuzu

Güvenilir platform modülü veya TPM (güvenilir platform modülü) - bu ayrı bir mikroçip sistem kartı Cryptography ve bilgisayar korumasıyla ilişkili belirli bir görev yelpazesini gerçekleştiren bilgisayar.

Örneğin, bir TPM kriptoprocessor kullanarak, bilgisayarın sabit diskini şifreleyebilirsiniz. Tabii ki yapabilir İşlemciAncak daha sonra daha fazla görevi gerçekleştirmek zorunda kalacak ve şifreleme hızı ve şifre çözme çok daha düşük olacaktır. Donanım, TPM modülündeki uygulamalı şifreleme neredeyse performans kaybı olmadan ortaya çıkar.

Şifre çözme bazen yanlış bir şekilde deşifre etmek denir. Aralarındaki fark, şifre çözme, algoritma ve gizli anahtarın şifreli verileri olan ve şifre çözme sırasında bilindiğinde bilinir olmasıdır.

Ayrıca, TPM kimlik bilgilerini koruyabilir ve sistemde çalışan programları kontrol edebilir. Roottats ve Bokodes ile enfeksiyonu önler (çeşitler kötü amaçlı programlarindirmeden önce bilgisayara nüfuz eder işletim sistemi Veya sistemdeki varlıklarını gizleyin ve bu nedenle sistem tarafından tanınamıyor), bilgisayar yapılandırmasını takiben, kullanıcının bilgisi olmadan değiştirilmez.

Ek olarak, her TPM kriptografik modülünün doğrudan mikro-kirişe kaydedilen ve değiştirilemeyen benzersiz bir tanımlayıcıya sahiptir. Bu nedenle, şifreleme ağa veya herhangi bir uygulamaya erişirken kimliğini doğrulamak için kullanılabilir.

TPM, işletim sistemi (OS) gerektiğinde kalıcı şifreleme tuşlarını oluşturabilir.

Ancak TPM modülünü kullanmadan önce, yapılandırılmalıdır. Modül ayarı birkaç basit işlemeye düşürülür.

• İlk olarak, çipin etkinleştirilmesi gerekiyor Bios bilgisayar (Eğer etkin değilse).
• İkincisi, işletim sistemi seviyesinde sahibi olmalısınız.

Bu adımları daha ayrıntılı olarak düşünün.

1 TPM modülünü açmabilgisayar Bios'ta

Modülü etkinleştirmek için BIOS'a gidin ve güvenlik bölümüne gidin. BIOS önemli ölçüde farklılık gösterse de farklı bilgisayarlarKural olarak, güvenlik ayarlarına sahip bir bölüm "güvenlik" denir. Bu bölümde "Güvenlik Yongası" adlı bir seçeneğe sahip olmalıdır.

Modül üç durumda olabilir:

• Devre dışı (devre dışı).
• Dahil ve dahil değil (etkin değil).
• Etkin ve etkin (etkin).

İlk durumda, işletim sisteminde, ikincisinde görülmeyecektir - görülebilir, ancak sistem kullanmaz ve üçüncüde - çip görünür ve sistem tarafından kullanılacaktır. "Aktif" durumunu yükleyin.

Hemen ayarlarda çip tarafından oluşturulan eski anahtarları temizleyebilirsiniz.

Örneğin, bilgisayarınızı satmak istediğinizde TPM temizleme kullanışlı olabilir. Lütfen tuşların, bu tuşlar tarafından kodlanan verileri geri yükleyemeyeceğinizi unutmayın (Tabii ki, sabit diskinizi şifreleyin).

Şimdi değişiklikleri kaydedin ("Kaydet ve Çık" veya F10 tuşunu) ve bilgisayarı yeniden başlatın.

Bilgisayarı indirdikten sonra, Aygıt Yöneticisini açın ve güvenilir modülün cihaz listesinde göründüğünden emin olun. "Güvenlik Aygıtları" bölümünde olmalıdır.

2 TPM Modülü Başlatmawindows'ta.

İşletim sisteminde çipi başlatmak için kalır. Bunu yapmak için, TPM modülü kontrol aracını açın. Düğmelere basın Windows + R. ("Çalıştır" penceresini takip edin), TPM.MSC giriş alanına girin ve "Enter" düğmesine tıklayın. Koşu ekipmanı başlayacak "Yerel bir bilgisayarda güvenilir bir platform modülünü (TPM) yönetmek".

Burada, bu arada, okuyabilirsiniz. ek Bilgiler - Açık ve kapatılması gerektiğinde, şifreyi değiştirin, vb. TPM'yi değiştirin. TPM'ye adanmış iyi bir makale döngüsü, Microsoft web sitesindedir.

Katılımın sağ tarafında bir eylem menüsü var. "TPM'yi Başlatın ..." tıklayın. Bu özellik aktif değilse, çipiniz zaten başlatılmıştır. Eğer başlatılmazsa ve sahibi şifresini bilmiyorsanız, önceki paragrafta açıklandığı gibi modülün hafızasını sıfırlamanız ve temizlemeniz önerilir.

TPM başlatma sihirbazı başladığında, bir şifre oluşturmanız istenecektir. "Otomatik olarak Şifre Oluştur" seçeneğini seçin.

TPM modülünün başlatma programı bir şifre üretecektir. Dosyaya kaydedin veya yazdırın. Şimdi "Başlat" i tıklayın ve biraz bekleyin.

Tamamlandığında, program başarılı modül başlatma hakkını bildirir. Başlatma işlemini tamamladıktan sonra, bir modülle yapılan tüm adımlar - başarısızlıklar durumunda, sıfırlama, temizleme, veri geri kazanımı, sıfırlama engelleme - yalnızca aldığınız bir şifrenin yardımıyla mümkün olacaktır.

Şimdi başlatma işlemi etkisiz hale gelmiştir, ancak TPM'yi devre dışı bırakma, sahibini değiştirme ve modül kilidini sıfırlama yeteneğine sahiptir, eğer gerçekleşirse (modül sahtekarlığı veya saldırıları önlemek için kendini engeller).

Aslında, bu, TPM modülünün yeteneklerini sonlandırır. Çip olasılığını gerektiren tüm diğer işlemler otomatik olarak gerçekleşir - işletim sistemine saydam ve sizin için farkedilmez. Bütün bunlar yazılımda uygulanmalıdır. Windows 8 ve Windows 10 gibi daha yeni işletim sistemlerinde, TPM yetenekleri daha eski işletim sisteminden daha yaygın olarak kullanılır.

Geçmişin filozofları özgürlük hakkında sebep olmak için sevildi. Benjamin Franklin, "Tehlikeye karşı kısa ömürlü koruma kazanma özgürlüğünü vermeye hazır olanlar, özgürlük yok, güvenlik hakemi yok" dedi. "Bir kişi köle olamaz, sonra ücretsiz. He ya da özgür - ya da hiç değil, "dedi Jean-Paul Sartre, kategorik olarak. "Özgürlük gerekli İhtiyaç"Benedict Spinoza Marksistlerinin alıntı.

Özgürlük nedir? Özgür olmak önemlidir, ve güvenliğe özgürlük değiş tokuş etmeye hazır mı? Bu konunun yansıması, genel halk tarafından engellenmeyen sebeple itildi. Bu yılın yazında, JTC1 Teknik Komitesinin onay konulu olarak oylanması tamamlandı, öngörülen PAS prosedüründe, Amerikan'a dayanan güvenilir bilgisayar grubu (TCG) konsorsiyumunu sunan ISO / IEC 11889: 2015'in yeni versiyonu. AMD, Cisco, HP, IBM, Intel, Microsoft ve Dalga Sistemleri şirketleri. Ve 29 Haziran Portland (Oregon) TCG, güvenilir platform modülünün (TPM) 2.0 standardının nihayet uluslararası olarak onaylandığını açıkladı.

TPM'nin avantajları.

TPM, şifreleme anahtarlarının bilgileri korumak için saklandığı şifreleme anahtarını tanımlayan özelliklerin adıdır. Daha kolay söylenebilir: Bu, sunuculara kurulabilecek bir bilgi güvenliği modülüdür, kişisel bilgisayarlar, Ağ I. mobil cihazlar. Donanım ve bilgisayar yazılımı ile iletişim sağlayan uzak sertifikayı destekler.

Modül, telif hakkı sahipleri için uygundur, çünkü yazılımın lisansını kontrol etmenizi, müziğin, filmlerin yasadışı kopyalamasını kontrol etmenizi sağlar. bilgisayar oyunları. Bilgisayarı kesinlikle belirler ve kullanıcıyı kimlik doğrulamanızı sağlar. Aynı zamanda, TPM tuşları üretmeyi mümkün kılar, karma fonksiyonlara sahip, rasgele sayılar oluşturur.

TPM donanım yetenekleri güçle çok sınırlıdır ve doğrudan yüksek miktarda veri şifrelemesine izin vermez. Disklerdeki dosyaların kitle şifrelemesinin işlevi program tarafından yapılabilir. Windows BitLocker. Bu durumda, kullanılan şifreleme kriptocluches, hırsızlık olasılığını ortadan kaldıran TPM ile şifrelenir.

Böylece, TPM, diski bir pakette Windows BitLocker ile şifreleyebilir, bilgisayarı kaybettiğinde veya çaldığında, virüslerin yanı sıra, virüslerin yanı sıra, bankacılık ve posta programlarından kaynaklanan verileri koruyabilir.

Modül, ağa erişmeden önce bile bilgisayarın ve hatta performansını doğrulayabilir. Genel olarak, kullanıcıların, özellikle IB'nin sorunlarını anlayan ve kendi başlarına çözemeyen kişilerin güvenliğini önemli ölçüde arttırır.

Aslında, TPM şey önemli ve faydalıdır. Kullanıcı güvenliğini önemli ölçüde iyileştirir. Ancak güvenlik fiyatı konusu ortaya çıkar. Bir kişi evinde bir web kamerası ayarlarsa, konutunun güvenliğini arttırır. Her zaman, daireyi uzaktan kontrol eder ve polise hırsızların ortaya çıkması durumunda neden olabilir. Ancak web kamerasını kontrol etme yeteneğini keserse, bir gözetim cihazına dönüşebilir. Bir kişi hakkında bilgi edinme - Sırasıyla kontrol ve yönetim aracılığıyla. Ve odada olsa da, yakında hapishanede, dairesinin kendisi dönüyor.

Almanya konumuna getirin

ISO / IEC JTC1 Teknik Komitesi oylama sonucu tahmin edilebilirdi. Neredeyse oy kullandı. Rusya, ancak, "aleyhinde" sesi hala hiçbir şey karar vermedi. En çok Amerikalıların konumunu destekledi. Benzeri görülmemiş eylem, Federal İçişleri Bakanlığı ve Federal Ekonomi Bakanlığı ve Federal Ekonomi Bakanlığı ve Federal Ekonomi Bakanlığı ve Federal Ekonomi Bakanlığı ve Federal Ekonomi ve Federal Ekonomi ve Federal Ekonomi Bakanlığı ve Federal Ekonomi ve Federal Ekonomi Bakanlığı'ndan . Bu belge hakkında bilgi Alman mühürüne sızdırdı ve çok fazla gürültü yaptı.

Devlet düzeyinde, böyle bir mektubun varlığı, Alman makamları tarafından reddedildi, ancak resmi güçten başka bir şey beklenebilir. Editör ofisinin elden çıkarılmasından ve kimlik dışı kalmamızda bulunan Alman mektubunun metninde, "... Taslak Standart'ta sunulan şartname yeterli değil. karar vermek; Özellikle, konunun dikkatli bir şekilde değerlendirilmesinin bir sonucu olarak, uygulamalarının korunan BİT sistemini yönetme olasılığını önemli ölçüde kötüleştirebileceğine inanmak için bir nedenimiz var ve bunun yanı sıra, potansiyel olarak Bazı bilgi işlem ekipmanı üreticilerinin çıkarları. Ek olarak, önerilen şartnamelerin kişisel verilerin gizliliği düzeyinin potansiyel etkisinin ve BT güvenliğinin çok sorunlu olabileceğine inanıyoruz ve bunun Alman mevzuatının ilgili normlarına aykırı olacağından korkuyoruz. "

Aynı zamanda, Alman IB uzmanları ilke olarak TPM'ye karşı çıkmadı. Kullanıcının platformunun tam kontrolünü terk ettiği önceki TPM 1.2 standardından memnun kaldılar. TPM modülünün devre dışı bırakılması kolaydı. TPM 2.0 standardında, bu işe yaramaz.

Ayrıca, yalnızca Amerikan şirketlerinin katıldığı bir standart geliştirme konusunda hizalama yaklaşımının korkusuna neden olmuşlardır. Zeit Gazeteciler, Alman hükümetinin TPM 2.0 gelişimine katılmaya çalıştığını ancak reddettiğini bildirdiğini bildirdi. Ayrıca, Birleşik Ulusal Bilimler Akademisi'nin geliştiricilerinin aktif işbirliğini işaret etti ve bağımsız uzmanlar tarafından TPM 2.0 güvenlik değerlendirmesini yönetti. Yayın, TPM'nin bir arka kapı olarak görülebileceği konusunda uyardı ve kriptografik tuşlara erişimin bir NB'ye sahip olması yüksek bir olasılık var.

Çekimler ve pencereler

Alman Federal Güvenlik Ofisi uzmanları bilişim Teknolojileri (BSI) TPM 2.0 spesifikasyonuna geçişle, bu standart, Windows 8.1 ve daha yüksek olan tüm cihazlar için zorunlu hale geldiğini ve bu fonksiyonun devre dışı bırakılmasına tabi değildir.

Aslında, TPM 2.0 olan bilgisayar, tam kullanıcı kontrolü altında bir cihaz olarak görülemez. TPM 2.0 ile Windows 8'in, Microsoft'un dahili kara hareketinden uzaktan bilgisayarı kontrol etmesine izin verebileceği konusunda endişeli.

Çinli uzmanlar ayrıca Alman uyarı hakkında da okudu. Sorunu araştırdılar, detaylı olarak anladılar ve karar verdiler. Mayıs 2014'te, Çin Hükümeti Ajansı Xinhua yasakladı windows yüklemeleri 8 Hükümet bilgisayarlarında. Bunlar, yalnızca devlete değil, devletin kontrol edildiği, aynı zamanda devletin kontrol edildiği yapılara, en büyük bankalar, IB, telekom alanının işletmeleri ve hükümetlerinin tavsiyelerini takip etmek isteyen diğer şirketler. .

Başka bir dahili belgede, Alman sürümünün alındığı BSI: "Windows 7, 2020'ye kadar güvenli bir şekilde yönetilebilir. Bundan sonra, diğer çözümler BT sistemlerini yönetecek şekilde bulunmalıdır." Ve BSI web sitesinde, mekanizmanın doğrudan yazıldığı windows çalışması 8 TPM 2.0 ile, "üçüncü şahıslardan sabotaj için kullanılabilir" ve uzmanlar, TPM'nin yeni sürümünün devlet kuruluşları ve kritik bir altyapının nesnelerinin kabul edilemez bir şekilde uygulanmasını düşünmektedir. Öyleyse, Almanlar ve Çinliler, Windows 7'den önce bile, kamu sektöründe Windows 7'yi güncellemek için acele etmeyecek.

Rusya'nın konumu

Rusya'nın konumunu bulmak için, ALMO / IEC JTC1 Teknik Komitesi, Rus Kova ve Kramftvay ve Microsoft şirketlerine yeni standartlara ilişkin Almanya ve Çin'in endişelerinin ciddiyeti hakkında yorum yapma talebinde uzmanlara döndük.

Ne yazık ki, uzmanlar veya sorularımızı yoksaydılar ya da cevap vermeleri için reddettiğini belirtti. Röportajları kabul eden tek uzman bağımsız bir siber güvenlik uzmanlığıdır. otomatik sistemler Ofis Vadim Podolik.

İyi nedir ve tehlikeli TPM nedir?

TPM, en yaygın TPM 1.2 veya tanıtılan TPM 2.0 olup olmadığı, bu, Binbaşı Amerikan şirketleri tarafından desteklenen teknolojik bir standarttır. Temel olarak, TPM bilgisayarlara entegre olan ayrı bir modüldür.

Şimdi, PC'lere, sunuculara, terminallere, ağ yönlendiricilerine ek olarak, ağa bağlı birçok yeni bileşen var. Bunlar endüstriyel otomasyon, insan sağlığından sorumlu olan cihazlar, insan sağlığından sorumlu olan cihazlar, saatlerce inşa edilen glukometrelerdir ... Hacker Müdahalesi nedeniyle, yanlış çalışabilirler veya aksine, yanlışlıkla çalışmazlar. TPM Güven Modülleri önemli bir görevi çözer - verilere güven, sisteme güven, doğru çalışacağını onaylar.

TPM fikri doğrudur. Bilginin yasal önemini sağlayan standart modüller olmalıdır. Kavramın kendisi aşağıdaki gibidir: Hacker'ı yapmak ve sadece büyük bir devlet yapmak zor olan bir modül yapın. Para koruma yöntemi olarak bir fatura gibidir. Yanlış bir şey yok.

Soru farklı. Windows 7'de "Bilgisayarım" ikonu vardı. Windows 10'da, "bu bilgisayar" olarak adlandırılır. Bu senin bilgisayarın değil. Bunu isteyip istemediğimizden bağımsız olarak güvencemizi sağlayacak teknolojileri uyguluyoruz. Devletin kuru bir yasa getirdiği gibi görünüyor ve şimdi bir toplumun sağlıklı askerlere ihtiyacı olduğu için sarhoş olmayacağını söylüyor. Yani burada.

Bilgisayarınız yakalarsa, bir şey için birine ihtiyacı var. Seni takip etmek mümkün. Bu işlevi devre dışı bırakamazsanız, bu bir koruma aracı değildir. Bu pasif bir saldırı aracıdır. Bilgi koleksiyonu, bir saldırı için bir nokta için bir arama. Microsoft, bilgisayarınızı paranızın için seçer. Size işletim sistemini satar ve kontrol edin.

TPM modülünde arka kapı olup olmadığını kontrol etmek mümkün mü?

Standardı analiz edebilirsiniz. Ancak bir bilgisayar size geldiğinde, anakartında, TPM modülünde, kontrol ettiğiniz işletmede değil, - içinde ne olduğunu bilmiyorsunuz. Bir şey ekleyebilir.

Ancak herhangi bir işlemciye veya denetleyiciye bir yer imi ekleyebilirsiniz?

Evet tabi ki. Ve yaklaşım aynı olmalıdır. Askeri sistemlerde, düzenleyiciler asla açık standarda göre bile bilinmeyen tarafından yapılan çip uygulamasına izin verilmeyecektir. Bu nedenle, "Baykal" ve "Elbrus" işlemcileriniz var. Rus mühendislik kuvvetleri, TPM'nizi tasarlamak için yeterlidir. Bizim fabrikalarımızda yapamayız. İşlemci gibi. Fakat biz tasarım yapabiliriz ve sonra yaptığımız gibi yapıp yapamayacağız, ya da orada eklenmiş bir şey. Böyle bir mekanizma zaten TPM'ye izin verecektir.

Ve şimdi ne yapmalıyız, TPM'niz yokken?

Kullanılan TPM analogları, birçok açıdan rolünü gerçekleştiren, güvenilir yükleme için donanım modülleridir. TPM anakartlarda göründüğünde bile kullanılırlar.

BIOS'u değiştirme olasılığı da ortaya çıktı, bir UEFI teknolojisi, programlı olarak güvenilir yükleme modülleri oluşturmanıza olanak sağlayan bir standart ortaya çıktı. Aslında, birçok gelişmesinde yapılan TPM'nin işini taklit eden programları barındırabilirler. Örneğin, SEOS işletim sisteminde FSB tarafından onaylanmıştır.

Peki ya Rus TPM modülü?

Biz ve şimdi Rusya'da anakartların projeleri için sipariş edildiği şirketler var. Örneğin, "Kova", "Korftvay", "T-platformları", MCST ve diğerleri. Her biri TPM modülünü tasarlayabiliyor. Ve kesinlikle yurt içi sıcak kriptografik algoritmaların desteğiyle yakında yaratılacak. Ve bu sadece savunma işletmeleri için değil, aynı zamanda geniş çember Tüketiciler, 152-FZ "kişisel verilerde" yasalarının hükümlerini uygulamakla yükümlüdür.

Ve Almanlar neden standartlara karşı TPM 2.0'a karşı davrandı?

Çok basit. Verilerini ve teknolojilerini Amerika Birleşik Devletleri'nden korumak istiyorlar. SUSE Linux'un nasıl ortaya çıktığını hatırlıyor musun? Bu, Bundeswehr'ün bir bölümünden belgeleri başka bir bilgiye aktarırken, ilk önce NC'de olduğu ortaya çıktı. Ardından SUSE Linux, Almanya'da yaratıldı ve bölüm bu işletim sisteminden çalışmaya aktarıldı.

Linux'ta, çekirdek 3.2'den başlayarak, TPM 2.0 desteği de açıklanmaktadır. Ancak kapatılabilir. Ve Windows'ta sekizin üzerinde değil. Windows, kullanıcı için çok uygun bir işletim sistemidir. O kadar dikkat çekici bir şekilde düşünülür. Kullanıcıların rahat ve konforlu olmasını sağlamak için on binlerce programcı çalışıyor. Ancak zorla empoze edilen herhangi bir değişiklik, bunun güvenliğiniz için olduğunu söylüyor. Hem uzmanlar hem de yetkililer ve hükümet.

TPM'den korkmamaya, özel bir araştırma yapmanız, tehlikeli olup olmadığını kontrol edip öğrenmeniz gerekir. Bu tamamen standart bir prosedürdür. Bazen üretim için çıkışla yapılır. o normal uygulamaÜlkenin temsilcileri üreticinin ülkesine geldiğinde ve bir süre üretimde oturuyor, süreçlerde demonte edildi.

Ve kim yapacak?

Büyük ticari şirketler için ilginç olabilir. Böyle bir biçimde bazı araştırma çalışmalarının zaten devam ettiğini düşünüyorum. Ve bu devlet için ilginç değil, çünkü orada kriptografi yok, bu yüzden savunma endüstrisi için mevcut modül yok.

Bilgisayarları devlet kurumlarında TPM ile kullanmak mümkün müdür?

Devlet kurumlarındaki TPM'nin kullanımı oldukça karmaşıktır. Aşağıdaki baskılarda, TPM'nin zaten kriptoalgoritma ikame olasılığı olacağını düşünüyorum. BIOS'u zaten yeniden şekillendirebilir ve bileşenlerinizi ekleyebilirsiniz. Bu yüzden TPM'de olacak. Kamu sektöründeki mevcut kullanım için, bunun hakkında konuşmak için çok erken. Ancak standardı uygulama yeteneğini incelemek. Ve bir sonraki sürümün gelişimine katılmak da gereklidir. Kriptografimizi başkasının TPM'sinde dikebilecek.

... Genel olarak, pozisyon anlaşılabilir. TPM güvenlikte yeni bir seviyedir. Devlet bir şekilde savunma sorusuna karar verecek ve gerisi ne olduğu için kullanılacak. Çoğu durumda, TPM koruyacak (TPM'nin sağladığı koruma konularında) ve hala büyük kardeşin dikkatini çekmiyorlar.

Tamamen Amerikan bir proje olarak başlayan konsorsiyumun kendisi genişler. İÇİNDE şu anda TCG, promoter durumunda 11 üyeyi (AMD, Cisco, Fujitsu, HP, IBM, infenion, Intel, Ardıç, Lenovo, Microsoft ve Dalga Sistemleri) ve 74 üye içerir. Japon ve Çince şirketler bu listelerde ortaya çıktı. Ancak orada hala hiçbir Rus temsilcisi yok.

Özgürlük veya güvenlik? "Özgürlük Yolları" seçti ve "Özgürlük Yollarını" seçti ve "hiçbir şey" eşiğinde duran özgür adam okuyan Sartra ve Cami'nin varoluşçilerinin zamanları geçmişte kaldı. Çoğu insan güvenliği seçti. Ve şimdi sadece tasmanın uzunluğunu tartışıyor. Yani kitle kullanıcısı için TPM sorunu yoktur. Ancak devlet, tasma devlet yapıları olan konuda kayıtsız olmamalıdır. Ve vatandaşları da.

Güvenilir Platform Modülü.

İÇİNDE bilgi işlem teknolojisi, Güvenilir Platform Modülü. (TPM) - Şifreleme anahtarlarının bilgiyi korumak için, örneğin "TPM çipi" şeklinde, örneğin "TPM yonga" veya "biçiminde, ilgili özelliklerin genelleştirilmiş adını da tanımlayan şifreleme adını tanımlayan şartnamenin adı. TPM Güvenlik Cihazı "(Dell). "Chip Fritz" olarak adlandırılmak için kullanılır (eski Senatör Ernest "Fritz" onun için bilinen hollings sıcak destek Dijital bilgi, DRM için telif hakkı koruma sistemleri). TPM şartnamesi güvenilir bilgi işlem grubu (İngilizce) tarafından geliştirilmiştir. TPM spesifikasyonunun mevcut versiyonu - 1.2 Revizyon 116, Edition 3 Mart 2011.

Kısa inceleme

Bir şifreleme modülü (TPM), bir şifreleme modülü (TPM), rasgele sayı üreteci olarak aynı uyumsuzlukla, anahtarların kullanımını (hem imza hem de şifreleme / şifre çözme için) sınırlandırabilen şifreleme anahtarlarının güvenli bir şekilde oluşturulmasını sağlar. Ayrıca, bu modül aşağıdaki özellikleri içerir: uzak belgelendirme, ciltleme ve güvenilir güvenli depolama. Uzak belgelendirme, donanımın, sistem yüklemesinin ve ana bilgisayar konfigürasyonunun (bilgisayar işletim sistemi) bağlantısını oluşturur, üçüncü bir tarafın (dijital müzik mağazası gibi) kontrol etmesini sağlar yazılımveya mağazadan yüklenen müzik, kullanıcı tarafından değiştirilmemiş veya kopyalanmamıştır (bkz. TSZP). Cryptoprocessor, verileri bu şekilde şifreler, yalnızca aynı yazılımı çalıştırdığı bilgisayarda şifrelenmiş oldukları şekilde şifrelenebilirler. Ciltleme TPM Onay anahtarını kullanarak verileri şifreler - benzersiz anahtarı RSA, üretim sürecinde yongaya kaydedildi veya güvenilen başka bir anahtar.

TPM modülü, donanımın gerçekliğini doğrulamak için kullanılabilir. Her bir TPM çipi belirli bir cihaz için benzersiz olduğundan, platformun benzersiz bir şekilde doğrulanmasını mümkün kılar. Örneğin, erişimin mevcut olduğu sistemin beklenen sistem olduğunu doğrulamak için.

TPM mimarisi

Talaş mimarisinde aşağıdaki koruyucu algoritmalar uygulanır:

• korumalı Bellek Yönetimi,
• Şifreleme lastiği ve veriler,
• aktif koruma.

Aktif koruma, çipin elektrik testini tespit etmesini ve gerekirse çipi engellemesini sağlar. Ek olarak, TPM'nin imalatında, IP katmanının topolojisini karıştırmak gibi standart olmayan teknolojik adımlar kullanılır. Bu önlemler çipi kesmek, hackleme maliyetini arttırarak önemli ölçüde karmaşıktır, bu da potansiyel davetsiz misafirlerde azalmaya yol açar.

Giriş / Çıkış (ENG. G / Ç)

Bu bileşen, otobüsteki bilgi akışını kontrol eder. Mesajları uygun bileşenlere gönderir. G / Ç bileşeni, TPM işlevleriyle ilgili erişim politikasına girer.

Kriptografik işlemci

TPM içindeki şifreleme işlemleri. Bu işlemler şunlardır:

• Asimetrik anahtarların üretilmesi (RSA);
• Asimetrik şifreleme / şifre çözme (RSA);
• Karma (SHA-1);
• Rastgele sayılar oluşumu.

TPM, bu olanakları, rastgele diziler oluşturmak, asimetrik anahtarlar, dijital imza ve depolanan verilerin gizliliğini oluşturur. Ayrıca TPM, iç ihtiyaçlar için simetrik şifrelemeyi destekler. Yürürlüğündeki tüm depolanan tuşları RSA Key 2048 bit ile eşleşmelidir.

Uçucu olmayan hafıza (eng. Uçucu olmayan depolama)

Onay anahtarını, kök anahtarı (İngilizce depolama root anahtarı, SRK), yetkilendirme verilerini, çeşitli bayrakları saklamak için kullanılır.

Onay Anahtarı (Eng. Onay Anahtarı, EK)

RSA Keys Jeneratörü (ENG. RSA Key Jeneratör)

Bir çift RSA tuşu oluşturur. TCG, anahtar üreten süre için minimum gereksinimleri getirmez.

RSA cihazı (ENG. RSA motoru)

Dijital imzalar ve şifreleme için kullanılır. RSA algoritmasının uygulanmasında herhangi bir kısıtlama yoktur. Üreticiler Çin teoremini kalıntılar veya başka bir yöntemle ilgili kullanabilirler. Önerilen minimum temel uzunluğu 2048 bittir. Açık katılımcıların değeri olmalıdır.

Güvenilir platform (Eng. Güvenilir platform)

TCG sistemlerinde, güven kökleri güvenilmesi gereken bileşenlerdir. Komple bir güven roots seti, avukatın gücünü bu platformun gücünü etkileyen platformu tanımlamak için gerekli minimum işlevselliğe sahiptir. Üç güven rootu vardır: ölçümler için güven kökü (RTM), depolama için güven kökü (RTS) ve mesajlar için güven kökü (RTR). RTM, platformun bütünlüğünün güvenilir ölçümleri üreten bir bilgi işlem mekanizmasıdır. RTS, karma bütünlük değerlerini koruyabilen bir bilgi işlem mekanizmasıdır. RTR - RTS'de depolanan bilgileri güvenilir bir şekilde bildiren bir mekanizma. Ölçüm verileri, ölçülen bileşenlerin özelliklerini ve özelliklerini açıklar. Bu ölçümlerin Hasi - bilgisayarın durumunun bir "anlık görüntüsü". Depolama, RTS ve RTR'nin işlevselliği ile gerçekleştirilir. Ölçülen değerlerin hash'sini platformun güvenilir durumuyla karşılaştırıldığında, sistemin bütünlüğü hakkında konuşabilirsiniz.

Muhtemel Uygulamalar

Kimlik doğrulama

TPM, yeni nesil kimlik doğrulamasının bir belirteç (güvenlik belirteci) olarak kabul edilebilir. Cryptoprocessor, yalnızca yetkili kullanıcılar ve bilgisayarlar tarafından ağa erişim sağlayan kimlik doğrulama ve kullanıcıyı ve bilgisayarı destekler. Bu, örneğin, TPM ile ilişkili dijital sertifikaları kullanarak şifreleme veya imza dayalı e-postayı korurken kullanılabilir. Ayrıca, şifrelerin başarısızlığı ve TPM kullanımı, kablolu, kablosuz ve VPN erişimi için daha güçlü kimlik doğrulama modelleri oluşturmanıza olanak sağlar.

Hırsızlıktan veri koruması

Bu "korumalı konteynerin" ana amacıdır. Güvenilir bilgi işlem grubu şartnamelerinin temelinde uygulanan kendi kendine kurucu cihazlar, dahili şifrelemeyi ve erişim kontrolünü verilere dönüştürür. Bu tür cihazlar, bir bilgisayarı kaybettiğinde veya çaldığında, tam disk şifrelemesi sağlar.

Faydaları:

• Performans iyileştirme

Donanım Şifrelemesi, performans kaybı olmadan tüm veri aralığında çalışmanıza olanak sağlar.

• Güvenlik amplifikasyonu

Şifreleme her zaman etkindir. Ek olarak, anahtarlar cihazın içinde üretilir ve asla bırakmaz.

• Düşük Maliyetli Maliyetler

İşletim sisteminin, uygulamaların vb. Değişiklikleri gerekmez. Şifreleme için, merkezi işlemcinin kaynakları kullanılmaz.

Büyük perspektifler bir sürü TPM + BitLocker'a sahiptir. Bu çözüm, tüm diski şifrelemektedir.

Ağ Erişim Kontrolü (NAC)

TPM, ağ erişimini almadan önce bilgisayarın ve hatta performansını bile doğrulayabilir ve gerekirse bir bilgisayarı karantinaya koyabilir.

Korumayı değiştir

Program kodunun sertifikası, oyunları süveterizmden ve bankacılık gibi hassas programları koruyacak ve posta müşterileri - kasıtlı modifikasyondan. Hemen, "Trojan Atının" eklenmesi, taze haberci yükleyicisine durdurulacaktır.

KORUMA KORUMA

Kopyalama koruması, böyle bir zincire dayanmaktadır: Program, kod çözme tuşuna (yalnızca TPM'de depolanan) erişimi sağlayan bir sertifikaya sahiptir.). Bu, yazılımı atlayamayan kopyalama işleminden korunur.

Satış

Üreticileri

Zaten 300 "000" 000 bilgisayardan fazla bir TPM yongası ile donatıldı. Gelecekte, bu tür cihazlara TPM kurulabilir. cep telefonları. TPM mikrodenetleyicileri aşağıdaki şirketler tarafından üretilmektedir:

• Sinosun
• Nuvoton,

Eleştiri

Güvenilir platform modülü adı için eleştirildi (Trust - İngilizce. güven. - Her zaman karşılıklı, kullanıcı iken, TPM'nin geliştiricileri ve güvenmeyin) ve bununla ilişkili özgürlük ihlali için. Bu ihlal için, cihaz genellikle denir Hain bilgi işlem ("Hain hesaplamalar").

"Mülkiyet" bilgisayarının kaybı

Bilgisayar sahibi, yazılım üreticilerinin haklarının bir kısmını geçerek, hiçbir şeyin yanında bir şey yapamaz. Özellikle, TPM (yazılım veya kasıtlı geliştirici çözümlerdeki hatalar nedeniyle) etkileşime girebilir:

• verileri başka bir bilgisayara aktarın;
• serbestçe bilgisayarınız için yazılımı seçin;
• mevcut verileri mevcut herhangi bir programla işleyin.

Anonimlik kaybı

PENTIUM III işlemcisinin kimlik numarası hakkındaki anlaşmazlıkları hatırlamak için, uzaktan okunabilir ve değişmeyen bir bilgisayar tanımlayıcısının neden olabileceğini anlamak için.

Rakiplerin bastırılması

Endüstri lideri haline gelen program (AutoCAD, Microsoft Word veya Adobe Photoshop olarak), dosyalarına şifreleme ayarlayabilir, bu dosyalara diğer üreticilerin programları yoluyla erişmeyi imkansız hale getirebilir, böylece başvuruda ücretsiz rekabet için potansiyel bir tehdit oluşturur. Uygulama yazılımı.

Son Dakika

TPM dağılımı, korumalı kaplar erişilemez olduğunda ve bunlardaki veriler nadirdir. TPM, yalnızca kompleks bir yedekleme sistemi varsa - doğal olarak, gizliliği sağlamak için kendi TPMS olmalıdır.

Hacklemek

Black Hat 2010'da Bilgisayar Güvenliği Konferansı, TPM şartnamesi tarafından üretilen Infineon Sle66 CL PE yongasının bir hacklendiğini açıkladı. Bu çip bilgisayarlarda, ekipmanlarda kullanılır. uydu iletişimi ve oyun konsolu. Hacklemek için elektronik bir mikroskop kullanılmıştır (yaklaşık 70.000 $ değerinde). Çip kabuğu asit ile çözüldü, en küçük iğneler komutları ele geçirmek için kullanıldı. Infineon, fiziksel hack yongası olasılığını bildiklerini iddia ediyor. Şirketin Başkan Yardımcısı Borchert (Borchert), pahalı ekipmanın ve teknik karmaşıklığın, cips kullanıcılarının ezici çoğunluğu için tehlikeleri temsil etmemesini sağladı.

Bilgi güvenliği: Güvenilir platform modülü ve kırmızı hap. Bölüm 2.

Makale:

Portal VM Guru'nun Yayın Ofisi'nden: Sanal ortamlar da dahil olmak üzere bir bilgi güvenliği uzmanı olan Andrei Lutsenko'nun bu maddesi, iş istasyonlarından sunucu sistemlerine kadar birçok yazılım ve donanım kompleksinin potansiyel bir kırılganlığını anlatıyor. Görüşümüzde, malzeme, bilgi güvenliğine dikkat çeken birçok ortam için benzersiz, ilginç ve günceldir. Sağlanan değerli malzeme için Andrei'ye teşekkür ediyoruz. Yazarla iletişim kurmak için "" bölümünü kullanın.

Bir hiperdraver kullanarak çalışma protokollerini kontrol edebilirsiniz Çeşitli cihazlarAyrıca, yasadışı müdahaleden özel koruma sistemlerine sahip olan bilgisayar sistemlerini korumayı amaçlayan cihazlar bile yalnızca TRM modülleri değil, aynı zamanda çeşitli akıllı kartlar, her türlü belirteç.

Aygıt kontrolündeki "kırmızı hap" hipersdrier'in demo versiyonu değiştirildi ve TRM modülünün adres alanlarını kontrol eden belirli yükleyiciler, bu donanım kaynaklarına başvurmaya çalışırken, Hyperther bu olayları kaydeder. Dökümü, dökümü hiperagenle görülebilir.

Bir donanım olayı kaydetmenin yanı sıra, yazılım modülündeki komutun adresi bu çekiciliği ekipmana gerçekleştirir. Hiperagent, bu yazılım modüllerini görüntülemenizi ve gerekirse, daha fazla analiz için dosyaya kaydetmenizi sağlar.

En genel yazılımŞifreleme anahtarlarını saklamak için TRM modülünü kullanarak, tam olarak bu programın çalışmalarında BitLocker'dır ve aşağıdaki ekran görüntülerinde "kırmızı hap" hiperdrier'i gözlemler.

BitQuer'in TRM modülü ile çalışmasının protokolü

Başlangıçta, Bitchker (OS yükleme aşamasında), TRM modülünden anahtar şifreleme anahtarlarını okumak için BIOS işlevlerini kullanır, çalışma G / Ç bağlantı noktalarının adres alanından geçer.
OS çekirdeğini yükledikten sonra, işletim sistemi modül ile protokol 1.2'ye göre çalışmaya başlar. Ve bilgi alışverişi MMIO adres alanı aracılığıyla değiştirilir.

Protokol Aktivasyonu TRM Modülü (Bir resmi dağıtmak için tıklayın)

Ayrıca özel TRM modülünün kontrollü yönetimi windows HizmetiÖrneğin, başlatma protokolü saf bir TRM modülü tarafından kaydedilir ve içindeki aktivasyon anahtarını girin. Analoji ile, TRM modülü ve diğer şifreleme tuşlarıyla, aktivasyon ile kolayca okuyabilirsiniz, ancak bunlar yalnızca TRM modülünün işletim sisteminden değiştirdiği tuşlardır. TRM modülünü bırakmayan tuşlar, protokolü kaydettirerek okuyabilirsiniz. rezerv kopyası TRM modülünün içeriğinin dış desteğinde.

Önceki metinden bu kadar görünebilir bu konu Ülkemiz için alakalı değil, çünkü TRM modülleri kullanım için yasaktır ve bilgi koruması için diğer ithalat araçları yalnızca gizli veriler için uygulanır.

Rusça bilgi güvenliğinin temeli, "Accord", Sable, vb. Tipi, Aşırı Olmayan Bağlantı Kesme Yöntemleri türünün güvenilir yükünün (MDZ) modülleridir. yerel ağlar İnternet erişiminin dış hatlarından, bilgi güvenliği sistemlerinin mimarlarının planlarındaki tüm dış penetrasyon riskleri tamamen ortadan kalkar.

Fakat, " AMAN TANRIM"Rus Mühendisliği ve İdari Düşüncenin bu aşılmaz fonları, dikişlerde hiper ve koruma ile kolayca atlanır (korumanın kendisi çok uzun zamandır uzun zamandır - çok milyon dolarlık bir iş) var.

Ayrıca, Devlet Politikası Enstitüsü olarak, bilgi güvenliği tam bir kurgu haline gelmiştir, - Eski Rusça söyleyerek: "Yasaların ciddiyeti, yürütme seçenekleri ile telafi edilir."

Özel Örnek:

Kompozisyonunda bu tür fonları içeren Rusya'daki kriptografik ve kurulumların kullanımı, yalnızca bir lisansın temelinde (3 Nisan 1995 tarihli Rusya Federasyonu Başkanı) veya bildirimlerin temelinde mümkündür.

Bu modelde, üretici TRM modülünü ücret karşılığında ayarlar ve not prosedürü için Rusya'ya bir dizüstü bilgisayar sağlar. bu cihaz Üretici tarafından üretim aşamasında devre dışı:

CF-52 panosunda, Infineon SLB 9635 TT1.2 tarafından üretilen TRM modülü takılıdır.

TRM dizüstü bilgisayarının bu pahalı ve gelişmiş modelinde, modül, aşağıda gösterilen ACPI tabloları BIOS'larla hızlanmayan manipülasyonlarla işletim sisteminde çalıştırılabilir hale getirilebilir.

Yukarıdaki slaytlardan, bildirimindeki ithalatçının yükseldiğini ve kontrol edilmesi görülebilir. Devlet organları "Şanslı".

Ayrıca, TRM modülleri tarafından bağlantısı kesildiği iddia edilen ithalatın, ülkenin bilgi güvenliği için ciddi bir tehdit olduğunu, çünkü bu iddiaya göre "bağlantısı kesilmiş" TRM modülleri sistemler tarafından kullanıldığından uzaktan kumanda Bir dizüstü bilgisayardan sunucuya bir dizüstü bilgisayardan hesaplama kurulumları. Sistemlerde uzaktan kumanda Bilgisayar kurulumunda kontrol elde etmek için uzak düğümün çözülmesinden sorumludurlar.

Ama üzücü hakkında yeterli, donanım sanallaştırma teknolojisinin ciddi şekilde yardımcı olabileceği bir alan var. Aslında, virüslere bir haç koymazsanız, hayatınızı ciddi şekilde karmaşıklaştırırsanız (virüsler ve truva atları ve kullanıcının yetersizliği ve yetersizliğinin diğer çöpleri yoktur) mümkündür.

HyperdraRiRiRer'ın bu asil anti-virüs görevini çözmesi için açıklaması bir sonraki makalede verilecektir.

Lütfen javascript'i görüntülemek için etkinleştirin.

Güvenilir platform modülleri (güvenilir platform modülleri), verileri korumaya ve bilgisayarlarda, konsollarda, akıllı telefonlarda, tabletlerde ve alıcıda kullanılmış olan küçük cipslerdir. Halen, TPM cipsleri yaklaşık milyarlarca cihazlarla donatılmıştır ve 600 milyon tanesi Ofis PC'leridir.

2001'den bu yana, "Komplo Teorisi" nin destekçileri, kullanıcının haklarını sınırlamaya izin veren bir kontrol aracı olarak cipsleri göz önünde bulundurmaya başladı: Teorik olarak, THM cipsleri, örneğin filmlerin ve müziğin yasadışı kopyalamasını sınırlamak için kullanılabiliyor. Ancak , son 12 yıl boyunca böyle bir vaka olmadı.. Ayrıca, Windows güvenli indirme ve veri şifreleme için benzer bir modül kullanır. hard disk BitLocker ile. Böylece, TPM, kötü niyetli ve veri hırsızlığına karşı mücadelede bir avantaj sağlar.

Bütün bunlara rağmen, sürüm 2.0 spesifikasyonu çok fazla dikkat çekti, çünkü şimdi TPM yongaları "varsayılan olarak" çalıştırıyor (kullanıcının bunları bağımsız olarak etkinleştirmek için gerekli). Görünüşe göre, yakında TPM 2.0 olmadan satışta bulmak zor olacak, çünkü Microsoft, Windows için sertifika kriterlerini değiştirdi. 2015'ten bu yana, TPM 2.0 standardı herkes için zorunludur, aksi takdirde donanım üreticisi sertifikasyonun onayı almayacaktır.

Panel penceresinde TPM Yöneticisi windows Yönetimi TPM çipinin durumunu ve sürümünü görüntüler

TPM yongası işletim sistemi güvenliğini garanti eder

Çoğu. etkili yol Hacker penetrasyonu olasılığını dışlayan sistemin korunması, bir TPM donanım çipinin kullanımıdır. Bu küçük bir "bilgisayardaki bir bilgisayar": kendi işlemcinizle birlikte güvenilir bir modül, veri deposu, Depolama ve G / Ç arayüzü.

TPM'nin ana görevi, işletim sistemine garantili güvenli hizmetler sunmaktır. Örneğin, TPM cipsleri Sabit diskteki verileri şifrelemek için kullanılan kriptocluts depolar. Ek olarak, modül tüm platformun kimliğini doğrular ve sistemin bilgisayar korsanlarının donanımın çalışmasına mümkün olası müdahalesini kontrol eder. Uygulamada, UEFI Secure Boot ile Tandem'de TPM, kullanıcıya işletim sistemine başlama işleminin tamamen korunması ve güvenli bir işlemini sağlar.

Üçüncü taraf bir geliştirici tarafından yüklenen aşama ( anti-virüs tarayıcı), Microsoft, hem ölçülen önyüklemeyi gösterir. Erken lansman anti-malware sürücüsü için Microsoft Anti-Virus geliştiricilerinden Anti-Thatoneal Programın erken lansmanı) imzasını sağlar. Eksik ise, UEFI önyükleme işlemini durdurur. Çekirdek başlangıçta virüsten koruma korumasını kontrol eder. ELAM sürücüsü test edilirse, çekirdek gerçek ve diğer sürücüleri tanır. Bu, rootkitlerin süreci etkileyeceği olasılığını ortadan kaldırır windows İndirme Ve "Durumdan yararlanın", antivirüs tarayıcısı henüz aktif olmadığında.

Önceki TPM 1.2 Şartnamesi, RSA-2048 ve SHA-1 şifreleme algoritmaları ile donanıma gömülü olan eski teknolojiyi kullandı (ikincisi güvensiz olarak kabul edilir). 2.0 sürümünde TPM cipslerinde kesinlikle tanımlanmış algoritmalar kullanmak yerine, simetrik ve asimetrik şifreleme yöntemleri sağlanabilir. Örneğin, SHA-2, HMAC, ECC ve AES mevcuttur. Ek olarak, TPM 2.0'da güncellenerek, yeni kriptoalgoritmalar için destek ekleyebilirsiniz.

TPM Chips BitLocker için anahtarlar oluşturur - Windows şifreleme sistemleri

Anahtar yaklaşım da değişti. Daha önce iki sabit şifreleme tuşu, teklif edilen tüm hizmetler için bir temel olarak yer alıyorsa, TPM 2.0 çok büyük ile çalışır rastgele sayılar - sözde birincil. Aynı zamanda, istenen anahtarlar, başlangıç \u200b\u200bnumaralarını kaynak veriler olarak kullanarak matematiksel fonksiyonlar aracılığıyla üretilir. TPM 2.0 ayrıca, yalnızca tek seferlik kullanım için anahtar oluşturma yeteneği sağlar.