Tpm на материнской плате. Технология Trusted Platform Module

Статья:

От редакции портала VM Guru : данная статья Андрея Луценко, специалиста в области информационной безопасности, в том числе виртуальных сред, рассказывает нам о потенциальной уязвимости многих программно-аппаратных комплексов от рабочих станций до серверных систем. На наш взгляд, материал является уникальным, интересным и актуальным на сегодняшний день для многих окружений требующих повышенного внимания к информационной безопасности. Благодарим Андрея за предоставленный ценный материал. Для связи с автором используйте информацию раздела " ".

С помощью Гипердрайвера можно контролировать протоколы работы различных устройств, причем контролировать даже устройства, предназначенные для защиты вычислительных систем, имеющие специальные системы защиты от нелегального вмешательства,- не только ТРМ модули, но и различные Смарт-карты, всевозможные Токены.

Демонстрационная версия гипердрайвера «Красная пилюля» в варианте контроля устройств модифицирована, и на платформу виртуализации навешаны специфические обработчики, контролирующие адресные пространства ТРМ модуля, при попытках любых программных средств обратиться к данным аппаратным ресурсам, гипердравер регистрирует эти события в дампе, дамп можно просмотреть через Гиперагент.

Кроме регистрации аппаратного события регистрируется адрес команды в программном модуле, выполняющем данное обращение к аппаратуре. Гиперагент позволяет просмотреть эти программные модули и при необходимости сохранить их в файле для дальнейшего анализа.

Самым распространенным программным средством, использующим ТРМ модуль для хранения ключей шифрования является Bitlocker именно за работой этой программы и наблюдает гипердрайер «Красная пилюля» на приведенных ниже скриншотах.

Протокол работы Битлокера с ТРМ модулем

Первоначально Битлокер (на этапе загрузки ОС) пользуется функциями БИОС для считывания ключей шифрования дисков из ТРМ модуля, работа идет через адресное пространство портов ввода/вывода.
После загрузки ядра ОС операционная система начинает сама работать с модулем по протоколу 1.2., и обмен информацией осуществляется уже через адресное пространство MMIO.

Протокол активации ТРМ модуля (кликните, чтобы развернуть картинку)

Также контролируется администрирование ТРМ модуля специальной службой Windows, к примеру, зарегистрирован протокол инициализации чистого ТРМ модуля и ввода в него ключа активации. По аналогии можно элементарно считать с ТРМ модуля и другие ключи шифрования, активации, но это только те ключи, которыми ТРМ модуль обменивается с ОС. Ключи, которые не выходят из ТРМ модуля, можно прочитать, регистрируя протокол резервного копирования на внешний носитель содержимого ТРМ модуля.

Из предыдущего текста может показаться, что данная тема не актуальна для нашей страны, поскольку ТРМ модули запрещены к применению, а иные импортные средства защиты информации применяются только для конфиденциальных данных.

Основой же Российской информационной безопасности являются модули доверенной загрузки (МДЗ) типа «Аккорд», «Соболь» и др. Кроме этого, непробиваемые методы отключения локальных сетей от внешних линий доступа в Интернет по замыслам архитекторов систем информационной безопасности полностью устраняют все риски внешнего проникновения.

Но, «О УЖАС» , эти непробиваемые средства Российской инженерной и административной мысли легко обходятся гипердрайверами и защита трещит по швам (собственно защиты уже давно как таковой нет - есть только многомиллионный бизнес).

Кроме этого, информационная безопасность, как институт Государственной политики, превратилась в полнейшую фикцию, - в рамках старинной русской поговорки: «Строгость законов компенсируется необязательностью их исполнения».

Конкретный пример:

Использование на территории России средств криптографии и установок, содержащих в своем составе такие средства, возможен только на основании лицензии (Указ Президента Российской Федерации от 3 апреля 1995 г .), либо нотификации .

В этой модели производитель устанавливает ТРМ модуль на плату и поставляет ноутбук в Россию их по процедуре нотификации, сообщая, что данное устройство отключено производителем на этапе производства:

На плате CF-52 установлен ТРМ модуль производства Infineon SLB 9635 TT1.2

В этой дорогой и продвинутой модели ноутбука ТРМ модуль можно сделать работоспособным в Операционной Системе нехитрыми манипуляциями с ACPI таблицами БИОС, что и демонстрируется ниже.

Из приведенных выше слайдов видно, что импортер в своей нотификации слукавил, а контролирующие Государственные Органы «лоханулись».

Более того, разрешение ввозить якобы отключенные ТРМ модули - это серьезная угроза для информационной безопасности страны, поскольку эти якобы «отключенные» ТРМ модули используются системами удаленного управления вычислительными установками от ноутбука до сервера включительно. В системах дистанционного управления они отвечают за разрешение удаленному узлу получить контроль над вычислительной установкой.

Но хватит о грустном, есть область, в которой технология аппаратной виртуализации может серьезно помочь. Фактически можно если не поставить крест на вирусах, то серьезно усложнить им жизнь (именно на вирусах а не троянах и прочей дряни эксплуатирующей дурость и некомпетентность пользователя).

Описание гипердрайвера для решения этой благородной антивирусной задачи будет дано в следующей статье.

Мы слегка познакомились с модулем TPM, когда знакомились с . Сегодня немного расширим наши познания о ней и поговорим о том, как им можно управлять.

Управление модулем TPM

Управление модулем TPM с помощью операционной системы заканчивается на его первоначальной настройке. Все вычисления чип TPM производит у себя, вне доступа операционной системы, что позволяет ей не бояться уязвимостей операционной системы. Единственным инструментом для управления модулем TPM в клиентских операционных системах Windows является консоль Управление TPM . Данную консоль можно вызвать из (tpm.msc ), либо найти его по адресу Панель управления — Шифрование диска BitLocker — Администрирование доверенного платформенного модуля . Кстати, ответ на вопрос «есть ли у меня модуль TPM» можно получить и в данной консоли. Если модуля нет, то Вы увидите надпись «Не удается найти совместимый доверенный платформенный модул ь». Ну а если он у Вас есть, то Вы можете включить, выключить данный модуль; сохранить информацию для восстановления TPM; удалить TPM; восстановить модуль TPM после блокировки и так далее.

На этом возможности по управлению модулем TPM с помощью операционной системы почти что заканчиваются. Дополнительным плюсом может выступить только то, что на некоторых компьютерах данных модуль можно включать/выключать и в BIOS компьютера.

Другие идентичные названия опции: Security Chip, Execute TPM Command.

В число опций BIOS, предназначенных для защиты информации компьютера, входит опция Trusted Platform Module. Она позволяет включить поддержку одноименного аппаратно-программного комплекса защиты информации. Пользователь может выбрать всего два варианта значений опции – Enabled (Включено) и Disabled (Выключено).

Вряд ли найдется такой пользователь, которого бы совершенно не волновала проблема защиты конфиденциальной информации, расположенной на его компьютере. В коммерческой и промышленной сфере на решение этой проблемы тратятся огромные средства, но до сих пор эффективного и при этом недорогого средства, позволяющего защитить компьютерные данные, так и не было найдено.

Система Trusted Platform Module является одной из попыток удовлетворить насущную потребность в подобной технологии. Хотя она и не является панацеей, тем не менее, она способна значительно повысить степень защиты информации как на уровне компьютерных сетей, так и на уровне отдельных компьютеров и прочих устройств, содержащих важные данные.

Trusted Platform Module (TPM, доверенный платформенный модуль) – это программно-аппаратный комплекс для защиты информации. Комплекс может устанавливаться на любые компьютеры и даже на отдельные накопители и мобильные устройства, такие как смартфоны. Чаще всего комплексом TPM оснащаются ноутбуки. Что немаловажно, компьютерные системы, оснащенные аппаратными модулями TPM, стоят не намного дороже, чем аналогичные по характеристикам системы, не оснащенные TPM.

Основные свойства данных, которые призвана обеспечить технология TPM:

• Защита
• Целостность
• Безопасность
• Авторство

Стандарт TPM был разработан рядом известных производителей программного и аппаратного обеспечения, в число которых входят Microsoft, HP, Intel, IBM. Впоследствии к их числу присоединились такие компании, как Sun, AMD, Sony и Verisign.

Использование TPM позволяет предотвратить взлом компьютера и утечку важной информации, заражение его троянскими программами и вирусами, сохранить целостность лицензионного программного обеспечения, обеспечить защиту сетевого трафика. Система TPM может гарантировать защиту ПО от модификации, а также защиту данных от копирования.

Накопители, поддерживающие систему TPM, способны осуществлять аппаратное шифрование данных, что обеспечивает защиту конфиденциальной информации. При авторизации пользователя в системе TPM могут использоваться различные методы, в том числе и биометрические, такие, как сканирование отпечатков пальцев.

Спецификация TPM позволяет использовать как полностью программную, так и аппаратно-программную реализацию технологии. На практике в большинстве случае используется второй вариант, как дающий наибольшую степень защиты.

Основой системы TPM является специальный чип, встроенный в материнскую плату. Этот чип, который часто называется криптографическим процессором или просто криптопроцессором, содержит необходимые для защиты информации программные и аппаратные средства. Его назначение – хранить и генерировать ключи, производить ассиметричное шифрование и хэширование данных. Микросхемы криптопроцессоров на сегодняшний день изготавливаются многими производителями и установлены на миллионах компьютеров.

При загрузке компьютера с установленной системой TPM при помощи криптопроцессора производится проверка на идентичность всех основных компонентов компьютера, как аппаратных, так и программных, таких, как BIOS и операционная система. В случае успеха подобной проверки компьютер считается работающим в так называемом проверенном состоянии. В этом состоянии могут исполняться любые приложения, в том числе, и те, которые требуют защиты и сохранения конфиденциальности данных, а также может осуществляться доступ к зашифрованным данным.

На программном уровне для работы TPM необходима поддержка технологии со стороны операционной системы, а также наличие специального программного обеспечения. Технология Trusted Platform Module поддерживается большинством современных операционных систем линейки Windows, начиная с Windows XP SP2, а также современными версиями Linux.

Опция Trusted Platform Module позволяет включить в BIOS поддержку данной технологии. Она доступна лишь в том случае, если материнская плата компьютера оснащена криптопроцессором-микросхемой TPM. Выбор значения Enabled позволяет пользователю включить эту микросхему, а значения Disabled – выключить.

Стоит ли включать?

Ответ на этот вопрос зависит от того, установлена ли у вас на компьютере система Trusted Platform Module. Если да, то систему стоит включить. Однако необходимо помнить, что использование системы не является панацеей и не всегда может заменить применение традиционных антивирусов, брандмауэров и прочих средств компьютерной безопасности.

Производители BIOS предлагают пользователю выбор, и вы всегда сможете выключить данную систему, если вы не нуждаетесь в ее помощи. Само собой, если ваш компьютер оснащен старой операционной системой, не поддерживающей TPM (Windows XP SP1 и более старые ОС), то включение ее также не имеет никакого смысла.

Хелловичик всем Сегодня речь пойдет об Trusted Platform Module, узнаем что это дичь. Немного сложно, но понял что Trusted Platform Module (TPM) — модуль, который располагается на материнской плате и хранит в себе криптографические ключи для защиты информации. Есть версия 1.0, и более продвинутая современная 2.0

Еще есть версия TPM 1.2, она была выпущена 3 марта в 2011 году. То есть можно сделать вывод, что технология не такая уж и новая, а как бы уже давно существует

Как я понимаю, то Trusted Platform Module применяется в алгоритмах шифрования, делая их еще безопаснее.

Фишка в том что модуль TPM может помочь зашифровать ну и расшифровать. Но вот чтобы расшифровать, то нужны криптографические ключи. А эти ключики хранятся в самом чипе. Вот такая сложная технология

Ага! Еще есть такое — модуль способен не только создавать ключи эти, но и привязывать их к оборудованию. Понимаете? И расшифровать можно только если конфигурация компа, которая была при зашифровке, совпадает с той которая сейчас.. короч серьезно

Также чип принимает участие в работе технологии BitLocker Drive Encryption (шифрование содержимого дисков ПК).

Вот нашел странную картинку.. тут упоминается TPM, но причем тут кухонная плита понять сложно:

Что это все значит и кто за этим стоит?

Внешний вид чипа

Вот его величество сам чип TPM (отдельно, не на материнке):

Хм, интересно, а возможно ли купить новый.. и заменить? Ну например если старый поломался там, сгорел… и смотря на эту картинку, кажется что купить таки можно:

Ну что я могу тут сказать? Круто в общем Но если новый купить чип, то можно будет ли расшифровать данные, которые были зашифрованы старым чипом? А вот это уже вопрос нереально серьезный!

Вот собственно чип на материнской плате:

Судя по внешнему виду и конструкции — заменить его реально в домашних условиях так бы сказать

Опция в биосе TPM Device

Ну а вот сама и опция Trusted Platform Module в биосе — можно включить (Enabled) или выключить (Disabled):

Может быть название и TPM Device или.. TPM Embedded Security (сори за качество господа):

Еще в биосе может присутствовать опция Discrete TPM FW Switch (раздел Security):

Выяснил, Discrete TPM FW Switch — управление дискретным чипом. Дискретный, то есть это тот чип что можно поменять, снимаемый так бы сказать. Тут мысль меня посетила — а на материнке могут присутствовать два чипа TPM? Интегрированный и дискретный? И вот управление ими происходит в биосе.. не знаю короч..

Еще пример — опции TPM SUPPORT, TPM State, Pending TPM operation:

Вывод — опции зависят от материнки. Если чип TPM включен в биосе, тогда у вас в диспетчере устройств (чтобы запустить — Win + R > devmgmt.msc) будет такое устройство в разделе Security devices:

Как видите напротив устройства указывается версия — выше на картинке устаревшая 1.2, а у вас может быть современная 2.0 (зависит от года выпуска материнки). Так, стопачки! Если версия чипа устаревшая, то возможно заменить старый чип на новый реально? Просто мысли, однако думаю что замена вполне себе реальна..

Еще в разделе System devices может быть Infineon Trusted Platform Module:

Некоторые выводы и мои мысли по поводу Trusted Platform Module

Напишу все что я думаю об этом всем, окей? Смотрите:

Настройки Trusted Platform Module

Чисто случайно узнал, что оказывается в Windows есть настройки Trusted Platform Module, а то даже и не знал! Как открыть настройки? Зажимаете кнопки Win + R, далее вставляете командушку:

У себя открыл и тут опачки, у меня пишет что Не удается найти совместимый доверенный платформенный модуль:

Вот блина, попадос конкретный Я просто думал что модуль.. нет, ну наверно модуль то у меня есть! Но он в биосе видимо не включен. Ну и ладненько.. А вы посмотрите у себя, у вас там что будет? ну настройки будут? Гляньте, окей?

И еще — там в настройках можно очистить данные TPM. Я надеюсь вы понимаете что этого делать не нужно, если вы не шарите в этом. Иди знай что за данные там. А может у вас что-то зашифровано на ПК и если очистите данные, то потом не сможете расшифровать. В общем — я вас предупредил

Для нормальный работы TPM нужно чтобы было в виндовсе установлено специальное обновление. Оно как бы способно установится автоматически. А если нет — то нужно скачать с сайта производителя вашей материнки. Тут просто под обновлением как я понимаю имеется ввиду драйвер TPM, ведь виндовс и дрова ставить умеет, подтягивая их с интернета..

Вот и все. Удачи вам и терпения, до новых встреч господа!