שאלות כלליות על רכיב TPM בלוח אם - תמיכה טכנית למחשבים - HWzone פורומים
עבור לתוכן
  • צור חשבון

שאלות כלליות על רכיב TPM בלוח אם


T_M_W

Recommended Posts

שלום,

 

האם הרכיב TPM בלוח אם Z370XP של גיגבייט עובד עבור כל הכוננים הקשיחים או על אחד בלבד?

האם ניתן להפעיל TPM בשביל RAID כלשהו?

 

האם במחשב שמופעל בו TPM ניתן לחבר דיסק קשיח נוסף?

האם ניתן לנתק דיסק קשיח במחשב שמופעל בו TPM ולחבר אותו למחשב אחר ללא TPM ולקרוא מידע ממנו?

 

תודה רבה 

 

 

 

קישור לתוכן
שתף באתרים אחרים

אני לא חושב שבהנת את הרעיון מאחורי trusted computing.

TPM נועד כדי לבצע שני דברים עיקריים:

1. למדוד נתונים מוגדרים מראש בזמן הפעלת מחשב ולי זה לגלות סודות (כמו סיסמאת הצפנה לאיחסון) באמצעות PCRים.

2. לשמור סיסמאות ומפתחות על מנת לחסוף מידע מוגן או שליטה ביישומים שרצים על המחשב. שזהו רכיב חומרה לביצוע משימות אבטחת מידע.

קישור לתוכן
שתף באתרים אחרים

ציטוט של multicore

אני לא חושב שבהנת את הרעיון מאחורי trusted computing.

TPM נועד כדי לבצע שני דברים עיקריים:

1. למדוד נתונים מוגדרים מראש בזמן הפעלת מחשב ולי זה לגלות סודות (כמו סיסמאת הצפנה לאיחסון) באמצעות PCRים.

2. לשמור סיסמאות ומפתחות על מנת לחסוף מידע מוגן או שליטה ביישומים שרצים על המחשב. שזהו רכיב חומרה לביצוע משימות אבטחת מידע.

תוכל להסביר איך זה עובד? תודה רבה

קישור לתוכן
שתף באתרים אחרים

ציטוט של multicore

מה בדיוק אתה רוצה לדעת? זה עולם שלם של מימושי חומרה/תוכנה.

אשמח להבין איך זה עובד, מה צריך להגדיר, כיצד ניתן לבטל זאת, האם יש השפעה על ביצועים.

 

תודה רבה

קישור לתוכן
שתף באתרים אחרים

איזה ביצועים? זה רכיב אבטחת מידע.

דוגמאות למימוש:

1. Bitlocker שומר את המפתח הצפנה של מחיצת בTPM. משנה את הBCD bootloader כדי שיגש לTPM להוציאו אותו. ה TPM משווה בזמן הPOST את הערכים שהוא שמר בPCR שלו מול מה שהוא מודד ומחליט אם ניתן לתת ל bootloader את המפתח הצפנה.

זה מאפשר לחבר את מערכת ההצפנה של האיחסון לרכיב חומרה שהוא גם מוגנן מפני נסיונות פריצה פיסית (tampering) או cold boot.

2. TrouSerS מאפשר שימוש בAPI של TPM ב user space של כדי לאחסן (seal) ולשלוף (unseal) סודות כמו מפתח הצפנה ל dm-crypt/LUKS או סיסמא למפתח פרטי של gpg.

3. TrustedGRUB מאפשר גישה לPCRים של TPM כדי להגיעה להחלטה אם ניתן לבצע unseal או לא.מדידה של PCR יכולה להיות על בסיס שינויים בחומרה או תוכנה (למשל checksum של etc/shadow/).

4. הצפנת דיסק מלאה כאשר initramfs כבר מכיל את הAPI של הTPM.

5. מימוש של root of trust יחד עם chain of trust בדומה ל TXT. מאוד רלוונטי שלישטה מלאה על הפעלת תוכנות.

6. רכיב חומרה להצפנה ויצרית מספרים אקראיים.

וכד'...

קישור לתוכן
שתף באתרים אחרים

ציטוט של multicore

איזה ביצועים? זה רכיב אבטחת מידע.

דוגמאות למימוש:

1. Bitlocker שומר את המפתח הצפנה של מחיצת מערכת הפעלה בTPM. משנה את הBCD bootloader כדי שיגש לTPM להוציאו אותו. ה TPM משווה בזמן הPOST את הערכים שהוא שמר בPCR שלו מול מה שהוא מודד ומחליט אם ניתן לתת ל bootloader את המפתח הצפנה.

זה מאפשר לחבר את מערכת ההצפנה של האיחסון לרכיב חומרה שהוא גם מוגנן מפני נסיונות פריצה פיסית (tampering) או cold boot.

2. TrouSerS מאפשר שימוש בAPI של TPM ב user space של כדי לאחסן (seal) ולשלוף (unseal) סודות כמו מפתח הצפנה ל dm-crypt/LUKS או סיסמא למפתח פרטי של gpg.

3. TrustedGRUB מאפשר גישה לPCRים של TPM כדי להגיעה להחלטה אם ניתן לבצע unseal או לא.מדידה של PCR יכולה להיות על בסיס שינויים בחומרה או תוכנה (למשל checksum של etc/shadow/).

4. הצפנת דיסק מלאה כאשר initramfs כבר מכיל את הAPI של הTPM.

5. מימוש של root of trust יחד עם chain of trust בדומה ל Intel TXT. מאוד רלוונטי שלישטה מלאה על הפעלת תוכנות.

6. רכיב חומרה להצפנה ויצרית מספרים אקראיים.

וכד'...

תודה רבה על תשובתך המפורטת,

הכוונה להשפעה בביצועים במידה והמימוש הוא הצפנת דיסק קשיח מלאה.

האם אפשר לשלב את זה עם תצורת RAID?

האם ניתן לבטל TPM מבלי לאבד את המידע?

 

תודה רבה

קישור לתוכן
שתף באתרים אחרים

  • זאת הצפנת on the fly decryption. אין שום שפעה על ביצועים עם החומרה בימינו.
  • מערך RAID יוצר virtual volume. אין פה שום שינוי מדיסק בודד שהוא לא במערך. הביצועים יהיו כבר תלויים במימוש המערך (אם זה בתוכנה או חומרה).
  • TPM לא קשור למידע על אמצעי האיחסון. הוא מאחסן סודות כמו כספת שתחשוף אותם רק בתנאים מסויימים שמוגדרים מראש.
קישור לתוכן
שתף באתרים אחרים

ציטוט של multicore
  • זאת הצפנת on the fly decryption. אין שום שפעה על ביצועים עם החומרה בימינו.
  • מערך RAID יוצר virtual volume. אין פה שום שינוי מדיסק בודד שהוא לא במערך. הביצועים יהיו כבר תלויים במימוש המערך (אם זה בתוכנה או חומרה).
  • TPM לא קשור למידע על אמצעי האיחסון. הוא מאחסן סודות כמו כספת שתחשוף אותם רק בתנאים מסויימים שמוגדרים מראש.

זה אומר שאפשר להעביר דיסק קשיח ממחשב שמופעל בו TPM למחשב אחר ללא TPM ולקרוא את המידע ממנו?

קישור לתוכן
שתף באתרים אחרים

אתה לא צריך לצוטט תגובות מעליך. רק שנינו כותבים באשכול הזה. :)

מפתח ההצפנה יושב בTPM. הגישה לדיסק תלויה בTPM ולכן בלעדיו לא תהיה גישה לדיסק.

במקרה של Bitlocker יש אפשרות לשמור את המפתח כקובץ נפרד בDOK או להקיש ידנית (וגם בתוך אובייקט ב Active Directory אבל זה לא רלוונטי אליך).

קישור לתוכן
שתף באתרים אחרים

לא יקרה כלום. ההצפנה רק משתמש בTPM כדי לשלוף מפתח.

מה שיכול להתרחש זה תרחיש שהTPM לא יתן את המפתח בגלל שאחד הPCR מתייחס לשינוי הזה.

לTPM יש ממשק שהוא רק enable/disable/clear בBIOS. כל שאר המימושים הם ברמת מערכת ההפעלה.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...