שלום,

 

האם הרכיב TPM בלוח אם Z370XP SLI של גיגבייט עובד עבור כל הכוננים הקשיחים SSD או על אחד בלבד?

האם ניתן להפעיל TPM בשביל RAID כלשהו?

 

האם במחשב שמופעל בו TPM ניתן לחבר דיסק קשיח נוסף?

האם ניתן לנתק דיסק קשיח במחשב שמופעל בו TPM ולחבר אותו למחשב אחר ללא TPM ולקרוא מידע ממנו?

 

תודה רבה 

 

 

 

נערך 2017 בנובמבר 87 שנים על-ידי T_M_W

אני לא חושב שבהנת את הרעיון מאחורי trusted computing.

TPM נועד כדי לבצע שני דברים עיקריים:

1. למדוד נתונים מוגדרים מראש בזמן הפעלת מחשב ולי זה לגלות סודות (כמו סיסמאת הצפנה לאיחסון) באמצעות PCRים.

2. לשמור סיסמאות ומפתחות על מנת לחסוף מידע מוגן או שליטה ביישומים שרצים על המחשב. שזהו רכיב חומרה לביצוע משימות אבטחת מידע.

ציטוט של multicore

אני לא חושב שבהנת את הרעיון מאחורי trusted computing.

TPM נועד כדי לבצע שני דברים עיקריים:

1. למדוד נתונים מוגדרים מראש בזמן הפעלת מחשב ולי זה לגלות סודות (כמו סיסמאת הצפנה לאיחסון) באמצעות PCRים.

2. לשמור סיסמאות ומפתחות על מנת לחסוף מידע מוגן או שליטה ביישומים שרצים על המחשב. שזהו רכיב חומרה לביצוע משימות אבטחת מידע.

תוכל להסביר איך זה עובד? תודה רבה

מה בדיוק אתה רוצה לדעת? זה עולם שלם של מימושי חומרה/תוכנה.

ציטוט של multicore

מה בדיוק אתה רוצה לדעת? זה עולם שלם של מימושי חומרה/תוכנה.

אשמח להבין איך זה עובד, מה צריך להגדיר, כיצד ניתן לבטל זאת, האם יש השפעה על ביצועים.

 

תודה רבה

איזה ביצועים? זה רכיב אבטחת מידע.

דוגמאות למימוש:

1. Bitlocker שומר את המפתח הצפנה של מחיצת מערכת הפעלה בTPM. משנה את הBCD bootloader כדי שיגש לTPM להוציאו אותו. ה TPM משווה בזמן הPOST את הערכים שהוא שמר בPCR שלו מול מה שהוא מודד ומחליט אם ניתן לתת ל bootloader את המפתח הצפנה.

זה מאפשר לחבר את מערכת ההצפנה של האיחסון לרכיב חומרה שהוא גם מוגנן מפני נסיונות פריצה פיסית (tampering) או cold boot.

2. TrouSerS מאפשר שימוש בAPI של TPM ב user space של Linux כדי לאחסן (seal) ולשלוף (unseal) סודות כמו מפתח הצפנה ל dm-crypt/LUKS או סיסמא למפתח פרטי של gpg.

3. TrustedGRUB מאפשר גישה לPCRים של TPM כדי להגיעה להחלטה אם ניתן לבצע unseal או לא.מדידה של PCR יכולה להיות על בסיס שינויים בחומרה או תוכנה (למשל checksum של etc/shadow/).

4. הצפנת דיסק מלאה כאשר initramfs כבר מכיל את הAPI של הTPM.

5. מימוש של root of trust יחד עם chain of trust בדומה ל Intel TXT. מאוד רלוונטי שלישטה מלאה על הפעלת תוכנות.

6. רכיב חומרה להצפנה ויצרית מספרים אקראיים.

וכד'...

נערך 2017 בנובמבר 97 שנים על-ידי multicore

ציטוט של multicore

איזה ביצועים? זה רכיב אבטחת מידע.

דוגמאות למימוש:

1. Bitlocker שומר את המפתח הצפנה של מחיצת מערכת הפעלה בTPM. משנה את הBCD bootloader כדי שיגש לTPM להוציאו אותו. ה TPM משווה בזמן הPOST את הערכים שהוא שמר בPCR שלו מול מה שהוא מודד ומחליט אם ניתן לתת ל bootloader את המפתח הצפנה.

זה מאפשר לחבר את מערכת ההצפנה של האיחסון לרכיב חומרה שהוא גם מוגנן מפני נסיונות פריצה פיסית (tampering) או cold boot.

2. TrouSerS מאפשר שימוש בAPI של TPM ב user space של Linux כדי לאחסן (seal) ולשלוף (unseal) סודות כמו מפתח הצפנה ל dm-crypt/LUKS או סיסמא למפתח פרטי של gpg.

3. TrustedGRUB מאפשר גישה לPCRים של TPM כדי להגיעה להחלטה אם ניתן לבצע unseal או לא.מדידה של PCR יכולה להיות על בסיס שינויים בחומרה או תוכנה (למשל checksum של etc/shadow/).

4. הצפנת דיסק מלאה כאשר initramfs כבר מכיל את הAPI של הTPM.

5. מימוש של root of trust יחד עם chain of trust בדומה ל Intel TXT. מאוד רלוונטי שלישטה מלאה על הפעלת תוכנות.

6. רכיב חומרה להצפנה ויצרית מספרים אקראיים.

וכד'...

תודה רבה על תשובתך המפורטת,

הכוונה להשפעה בביצועים במידה והמימוש הוא הצפנת דיסק קשיח מלאה.

האם אפשר לשלב את זה עם תצורת RAID?

האם ניתן לבטל TPM מבלי לאבד את המידע?

 

תודה רבה

נערך 2017 בנובמבר 97 שנים על-ידי T_M_W

• זאת הצפנת on the fly decryption. אין שום שפעה על ביצועים עם החומרה בימינו.
• מערך RAID יוצר virtual volume. אין פה שום שינוי מדיסק בודד שהוא לא במערך. הביצועים יהיו כבר תלויים במימוש המערך (אם זה בתוכנה או חומרה).
• TPM לא קשור למידע על אמצעי האיחסון. הוא מאחסן סודות כמו כספת שתחשוף אותם רק בתנאים מסויימים שמוגדרים מראש.

ציטוט של multicore

• זאת הצפנת on the fly decryption. אין שום שפעה על ביצועים עם החומרה בימינו.
• מערך RAID יוצר virtual volume. אין פה שום שינוי מדיסק בודד שהוא לא במערך. הביצועים יהיו כבר תלויים במימוש המערך (אם זה בתוכנה או חומרה).
• TPM לא קשור למידע על אמצעי האיחסון. הוא מאחסן סודות כמו כספת שתחשוף אותם רק בתנאים מסויימים שמוגדרים מראש.

זה אומר שאפשר להעביר דיסק קשיח ממחשב שמופעל בו TPM למחשב אחר ללא TPM ולקרוא את המידע ממנו?

אתה לא צריך לצוטט תגובות מעליך. רק שנינו כותבים באשכול הזה.

מפתח ההצפנה יושב בTPM. הגישה לדיסק תלויה בTPM ולכן בלעדיו לא תהיה גישה לדיסק.

במקרה של Bitlocker יש אפשרות לשמור את המפתח כקובץ נפרד בDOK או להקיש ידנית (וגם בתוך אובייקט ב Active Directory אבל זה לא רלוונטי אליך).

תודה רבה,

מה יקרה אם אני אחבר דיסק קשיח נוסף למחשב שיש בו TPM פעיל?

האם צריך לבצע פעולה כלשהי בשביל להעתיק מידע בין הכוננים?

איך מבצעים את הגדרות ה TPM? יש ממשק כמו של BIOS?

לא יקרה כלום. ההצפנה רק משתמש בTPM כדי לשלוף מפתח.

מה שיכול להתרחש זה תרחיש שהTPM לא יתן את המפתח בגלל שאחד הPCR מתייחס לשינוי הזה.

לTPM יש ממשק שהוא רק enable/disable/clear בBIOS. כל שאר המימושים הם ברמת מערכת ההפעלה.

יש דרך לעקוף זאת? אם אשנה ב  BIOS את ההגדרה ל disable ואחר כך אוסיף דיסק קשיח חדש, זה בעצם עוקף זאת?

 

תודה רבה

אתה לא חייב להשתמש בTPM. אתה יכול גם להצפין עם Bitlocker בלי TPM אם בא לך.