TPM Modul
Měním desku. Při procházení dokumentace k ní jsem se zarazil u možnosti připojit na ni TPM modul. Tak mě hned začalo zajímat co to vlastně je. Z práce znám český výrobek Decros (je to letitá záležitost) který uměl šifrovat data hw metodou a (byla to karta PCI) byla u něj i možnost na com port připojit např. čtečku chipových karet.
Používáte někdo nějaký TPM modul (moc druhů se jich neprodává, já našel 2 v česku) ? Našel někdo nějaký atest na šifrování ? Jak je bezpečné ?
Používáte někdo nějaký TPM modul (moc druhů se jich neprodává, já našel 2 v česku) ? Našel někdo nějaký atest na šifrování ? Jak je bezpečné ?
Doplňující otázka. Jsem zvědavý zda mi odpoví dřív někdo odsud a nebo z fakebooku MSI. Mám desku MSI, modul TPM od MSI. V biosu je v části security modul TPM povolen, deska jej vidí. OS Win 7 64 ultimate jej také nalezla a nainstalovala ovladače, modul běží. Nicméně když se snažím nainstalovat ovládací software tak to skončí s upozorněním, že mám zastaralý OS a abych ho upgradoval a poté, že modul nebyl nalezen. Na CD jsou dva adresáře Win32, x64. Spustím setup z x64, hláška o zastaralém OS zmizí ale setup stále nevidí modul. Někde něco soudruzi z NDR zase pokazili, ale nevím kde. Poradí někdo ?
Predne je dobre si uvedomit, ze TPM neslouzi primarne k sifrovani HDD - do dela samostatny nastroj, jmenem BitLocker (klice jsou ulozene v TPM), ale jako validace duveryhodne platformy., ktere udrzuje, overuje a chrani boot (od nevalidniho OS az po exploity) - do sve pameti nema primy pristup (vyjimkou byla chyba implementace Intel TXT) zadny SW, chvoa se jako "trezor" certifikatu, klicu, biometriky, sifrovani. TPM patri do zakladu kazdeho sitoveho prostredi, ma-li byt udrzitelna jeho validita.
Standardni vybava business ntb, desktopu, thinclient, workstation ... ano, mnoho let a to i doma. Chybu neudelali, jen neumis pracovat s TPM.
Abys tomu rozumel, MB < - > TPM (< - > i/o PCR, NVS, AIK, P.Code, Random. Num. Gen, Eng. SHA-1, Key Gen., RSA Eng., Opt, Exex). Samotny MB komunikuje porostrednictvim PCR0 - x (PCR0 - Bios + Bios Flash, PCR1 - Chipset conf, PCR2 - PCI ROM, PCR3 - PCI conf, PCR4 - bootloader, PCR5 - bootloader conf atd. OS Kernel pouziva PCR8+) - PCR extend PCRN+1= SHA-1 (PCRN+Value). Chyba, respektive backdoor Intel TXT se tykal predevsim implementace SMM (implementovano uz na 386), protoze s pristupem na veskere I/O dev = bypass TXT.
Standardni vybava business ntb, desktopu, thinclient, workstation ... ano, mnoho let a to i doma. Chybu neudelali, jen neumis pracovat s TPM.
Abys tomu rozumel, MB < - > TPM (< - > i/o PCR, NVS, AIK, P.Code, Random. Num. Gen, Eng. SHA-1, Key Gen., RSA Eng., Opt, Exex). Samotny MB komunikuje porostrednictvim PCR0 - x (PCR0 - Bios + Bios Flash, PCR1 - Chipset conf, PCR2 - PCI ROM, PCR3 - PCI conf, PCR4 - bootloader, PCR5 - bootloader conf atd. OS Kernel pouziva PCR8+) - PCR extend PCRN+1= SHA-1 (PCRN+Value). Chyba, respektive backdoor Intel TXT se tykal predevsim implementace SMM (implementovano uz na 386), protoze s pristupem na veskere I/O dev = bypass TXT.