Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Компоненты доверенного платформенного модуля, соответствующие стандарту TPM версии 1.2.

Модуль Trusted Platform Module ( TPM , также известный как ISO / IEC 11889 ) - это международный стандарт для защищенного криптопроцессора , выделенного микроконтроллера, предназначенного для защиты оборудования с помощью встроенных криптографических ключей.

История [ править ]

Модуль Trusted Platform Module (TPM) был разработан консорциумом компьютерной индустрии под названием Trusted Computing Group (TCG) и стандартизирован Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) в 2009 году как ISO / IEC 11889. [1]

TCG продолжала пересматривать спецификации TPM. Последняя пересмотренная версия основной спецификации TPM версии 1.2 была опубликована 3 марта 2011 г. Она состояла из трех частей в зависимости от их назначения. [2] Однако для второй основной версии TPM TCG выпустила спецификацию библиотеки TPM 2.0 , которая основывается на ранее опубликованной основной спецификации TPM . Его последнее издание было выпущено 29 сентября 2016 г. с несколькими ошибками, последняя из которых датирована 8 января 2018 г. [3] [4]

Обзор [ править ]

Модуль Trusted Platform Module предоставляет

Компьютерные программы могут использовать TPM для аутентификации аппаратных устройств, поскольку каждая микросхема TPM имеет уникальный и секретный ключ подтверждения (EK), записанный при его создании. Снижение уровня безопасности до аппаратного уровня обеспечивает большую защиту, чем только программное решение. [10]

Использует [ редактировать ]

Министерство обороны США (DoD) указывает , что «новые компьютерные активы (например, сервер, настольный компьютер, ноутбук, тонкий клиент, планшет, смартфон, персональный цифровой помощник, мобильный телефон) , закупленные для поддержки DoD будет включать в себя версию модуля TPM версии 1.2 или выше там, где этого требует DISA STIG, и где такая технология доступна ». DoD ожидает, что TPM будет использоваться для идентификации, аутентификации, шифрования и проверки целостности устройства. [11]

Целостность платформы [ править ]

Основная задача TPM - обеспечить целостность платформы. В этом контексте «целостность» означает «вести себя так, как задумано», а «платформа» - это любое компьютерное устройство независимо от его операционной системы . Это необходимо для обеспечения того, чтобы процесс загрузки запускался с надежной комбинации оборудования и программного обеспечения и продолжался до тех пор, пока операционная система не загрузится полностью и не будут запущены приложения .

Ответственность за обеспечение указанной целостности с помощью TPM лежит на прошивке и операционной системе. Например, унифицированный расширяемый интерфейс микропрограмм (UEFI) может использовать TPM для формирования корня доверия : TPM содержит несколько регистров конфигурации платформы (PCR), которые позволяют безопасно хранить и составлять отчеты о метриках, относящихся к безопасности. Эти метрики можно использовать для обнаружения изменений в предыдущих конфигурациях и принятия решения о дальнейших действиях. Хорошие примеры можно найти в Linux Unified Key Setup (LUKS), [12] BitLocker и PrivateCore vCage для шифрования памяти. (Смотри ниже.)

Другой пример целостности платформы с помощью TPM - использование лицензирования Microsoft Office 365 и Outlook Exchange. [13]

Примером использования TPM для обеспечения целостности платформы является технология Trusted Execution Technology (TXT), которая создает цепочку доверия. Он может удаленно подтвердить, что компьютер использует указанное оборудование и программное обеспечение. [14]

Шифрование диска [ править ]

Утилиты полного шифрования диска , такие как dm-crypt и BitLocker , могут использовать эту технологию для защиты ключей, используемых для шифрования запоминающих устройств компьютера, и обеспечения проверки целостности для надежного пути загрузки, который включает микропрограммное обеспечение и загрузочный сектор .

Защита паролем [ править ]

Операционные системы часто требуют аутентификации (с использованием пароля или других средств) для защиты ключей, данных или систем. Если механизм аутентификации реализован только программно, доступ подвержен атакам по словарю . Поскольку TPM реализован в специальном аппаратном модуле, был встроен механизм предотвращения атак по словарю, который эффективно защищает от угадывания или автоматических атак по словарю, при этом позволяя пользователю достаточное и разумное количество попыток. Без этого уровня защиты только пароли высокой сложности могли бы обеспечить достаточную защиту.

Другое использование и проблемы [ править ]

Любое приложение может использовать микросхему TPM для:

  • Управление цифровыми правами
  • Защитник Windows
  • Вход в домен Windows [15]
  • Защита и обеспечение соблюдения лицензий на программное обеспечение
  • Предотвращение читерства в онлайн-играх [16]

Существуют и другие варианты использования, некоторые из которых вызывают проблемы с конфиденциальностью . Функция «физического присутствия» TPM решает некоторые из этих проблем, требуя подтверждения на уровне BIOS для таких операций, как активация, деактивация, очистка или смена владельца TPM кем-то, кто физически присутствует на консоли машины. [17] [18]

Реализации TPM [ править ]

Модуль Trusted Platform Module, установленный на материнской плате
Эталонная реализация TPM 2.0
Разработчики)Microsoft
Репозиторийgithub .com / Microsoft / ms-tpm-20-ref
Написано вC , C ++
ТипРеализация TPM
ЛицензияЛицензия BSD
Интернет сайтдоверенная группа .org / tpm-библиотека-спецификация

Начиная с 2006 года, многие новые ноутбуки были проданы со встроенным чипом TPM. В будущем эта концепция может быть размещена на существующей микросхеме материнской платы в компьютерах или любом другом устройстве, где можно использовать средства TPM, например, в мобильном телефоне . На ПК для подключения к микросхеме TPM используется шина LPC или SPI .

Trusted Computing Group (TCG) сертифицировала TPM чипы производства компании Infineon Technologies , Nuvoton и STMicroelectronics , [19] , имеющих присвоенные идентификаторы ТРМ поставщика к Advanced Micro Devices , Atmel , Broadcom , IBM , Infineon, Intel , Lenovo , National Semiconductor , Nationz Technologies, Nuvoton, Qualcomm , Rockchip , Standard Microsystems Corporation , STMicroelectronics, Samsung , Sinosun, Texas Instruments и Winbond. [20]

Существует пять различных типов реализаций TPM 2.0: [21] [22]

  • Дискретные TPM - это специализированные микросхемы, которые реализуют функциональность TPM в собственном защищенном от несанкционированного доступа полупроводниковом корпусе. Теоретически они являются наиболее безопасным типом TPM, поскольку процедуры, реализованные на оборудовании, должны быть [ расплывчато ] более устойчивыми к ошибкам [ необходимы пояснения ] по сравнению с подпрограммами, реализованными в программном обеспечении, а их пакеты должны обеспечивать некоторую защиту от несанкционированного доступа.
  • Интегрированные TPM являются частью другого чипа. Хотя они используют оборудование, устойчивое к программным ошибкам, от них не требуется реализовывать защиту от несанкционированного доступа. Intel интегрировала TPM в некоторые из своих наборов микросхем .
  • TPM микропрограммного обеспечения - это решения на основе микропрограмм (например, UEFI ), которые работают в надежной среде выполнения ЦП . Intel, AMD и Qualcomm внедрили микропрограммные модули TPM.
  • TPM гипервизора - это виртуальные TPM, предоставляемые гипервизорами и полагающиеся на них , в изолированной среде выполнения, которая скрыта от программного обеспечения, работающего внутри виртуальных машин, для защиты своего кода от программного обеспечения на виртуальных машинах. Они могут обеспечить уровень безопасности, сопоставимый с TPM микропрограммного обеспечения.
  • Программные TPM - это программные эмуляторы TPM, которые работают с не большей защитой, чем обычная программа в операционной системе. Они полностью зависят от среды, в которой они работают, поэтому они не обеспечивают большей безопасности, чем та, которую может обеспечить обычная среда выполнения, и они уязвимы для собственных программных ошибок и атак, проникающих в обычную среду выполнения. [ необходима цитата ] Они полезны для целей развития.

Официальная эталонная реализация спецификации TPM 2.0 TCG была разработана Microsoft . Он под лицензией BSD License, а исходный код доступен на GitHub . [23] Microsoft предоставляет решение Visual Studio и сценарии сборки автоинструментов Linux .

В 2018 году Intel представила программный стек Trusted Platform Module 2.0 (TPM2) с открытым исходным кодом с поддержкой Linux и Microsoft Windows. [24] Исходный код размещен на GitHub и находится под лицензией BSD License . [25] [26]

Infineon профинансировал разработку промежуточного программного обеспечения TPM с открытым исходным кодом, которое соответствует спецификации расширенного системного API (ESAPI) Software Stack (TSS) TCG. [27] Он был разработан Институтом безопасных информационных технологий Фраунгофера (SIT). [28]

Программное обеспечение IBM TPM 2.0 - это реализация спецификации TCG TPM 2.0. Он основан на частях 3 и 4 спецификации TPM и исходном коде, предоставленном Microsoft. Он содержит дополнительные файлы для завершения реализации. Исходный код размещен на SourceForge и находится под лицензией BSD License. [29]

TPM 1.2 против TPM 2.0 [ править ]

Хотя TPM 2.0 обращается ко многим из одних и тех же сценариев использования и имеет схожие функции, детали отличаются. TPM 2.0 не имеет обратной совместимости с TPM 1.2. [30] [31] [32]

Технические характеристикиTPM 1.2TPM 2.0
АрхитектураУниверсальная спецификация состоит из трех частей. [2]Полная спецификация состоит из специфической для платформы спецификации, которая ссылается на общую библиотеку TPM 2.0, состоящую из четырех частей. [33] [3] Спецификации платформы определяют, какие части библиотеки являются обязательными, необязательными или запрещенными для этой платформы; и подробно описать другие требования для этой платформы. [33] Спецификации платформы включают PC Client, [34] Mobile, [35] и Automotive-Thin. [36]
АлгоритмыТребуются SHA-1 и RSA . [37] AES не является обязательным. [37] Тройной DES когда-то был необязательным алгоритмом в более ранних версиях TPM 1.2, [38] но был запрещен в TPM 1.2 версии 94. [39] Требуется функция генерации маски на основе хэша MGF1, которая определена в PKCS # 1. . [37]Спецификация профиля TPM клиентской платформы ПК (PTP) требует SHA-1 и SHA-256 для хэшей; RSA , ECC с использованием 256-битной кривой Баррето-Наерига и кривой NIST P-256 для криптографии с открытым ключом и генерации и проверки асимметричной цифровой подписи ; HMAC для генерации и проверки симметричной цифровой подписи; 128-битный AES для алгоритма с симметричным ключом ; и функция генерации маски на основе хэша MGF1, которая определена в PKCS # 1 , требуются спецификацией профиля TPM клиентской платформы TCG PC (PTP). [40]Также определены многие другие алгоритмы, но они не являются обязательными. [41] Обратите внимание, что Triple DES был считан в TPM 2.0, но с ограничениями некоторых значений в любом 64-битном блоке. [42]
Крипто-примитивыГенератор случайных чисел , A криптографический алгоритм с открытым ключом , A криптографической хэш - функция , функция генерации маски, цифровая подпись генерации и проверки, и прямым Anonymous Аттестация требуется. [37] Алгоритмы с симметричным ключом и исключающее ИЛИ являются необязательными. [37] Также требуется генерация ключа . [43]Генератор случайных чисел , открытых ключей криптографических алгоритмов , криптографические хэш - функции , с симметричным ключом алгоритмы , цифровая подпись генерации и проверки, функции генерации маски, эксклюзивные или , и ЕСС основанное Прямая Anonymous Аттестация используя Баррето-Naehrig 256-битной кривой Требуется спецификацией профиля TPM (PTP) клиентской платформы TCG PC. [40] Спецификация общей библиотеки TPM 2.0 также требует функций генерации и деривации ключей . [44]
ИерархияОдин (хранилище)Три (платформа, хранение и подтверждение)
Корневые ключиОдин (SRK RSA-2048)Несколько ключей и алгоритмов в иерархии
АвторизацияHMAC , ПЦР, местонахождение, физическое присутствиеПароль, HMAC и политика (которая охватывает HMAC, PCR, местонахождение и физическое присутствие).
NVRAMНеструктурированные данныеНеструктурированные данные, счетчик, растровое изображение, расширение

Авторизация политики TPM 2.0 включает HMAC 1.2, местонахождение, физическое присутствие и PCR. Он добавляет авторизацию на основе асимметричной цифровой подписи, косвенного обращения к другому секрету авторизации, счетчиков и временных ограничений, значений NVRAM, конкретной команды или параметров команды и физического присутствия. Он позволяет выполнять операции И и ИЛИ этих примитивов авторизации для построения сложных политик авторизации. [45]

Критика [ править ]

TCG столкнулась с сопротивлением развертыванию этой технологии в некоторых областях, где некоторые авторы видят возможные применения, не связанные конкретно с Trusted Computing , что может вызвать проблемы с конфиденциальностью. Проблемы включают злоупотребление удаленной проверкой программного обеспечения (когда производитель‍ - а не пользователь, владеющий компьютерной системой‍ - решает, какое программное обеспечение разрешено запускать) и возможные способы отслеживания действий, предпринятых пользователем, записываемых в базу данных, в таким образом, который полностью не обнаруживается пользователем. [46]

TrueCrypt утилита шифрования диска, а также его производные VeraCrypt , не поддерживают ТРМ. Первоначальные разработчики TrueCrypt придерживались мнения, что исключительная цель TPM - «защита от атак, требующих от злоумышленника прав администратора или физического доступа к компьютеру». Злоумышленник, имеющий физический или административный доступ к компьютеру, может обойти TPM, например, установив аппаратный регистратор нажатий клавиш , сбросив TPM или захватив содержимое памяти и получив ключи, выданные TPM. Таким образом, осуждающий текст заходит так далеко, что утверждает, что TPM полностью избыточен. [47]Издатель VeraCrypt воспроизвел первоначальное утверждение без каких-либо изменений, кроме замены TrueCrypt на VeraCrypt. [48]

Атаки [ править ]

В 2010 году Кристофер Тарновски представил атаку против TPM на Black Hat Briefings , где он утверждал, что может извлекать секреты из одного TPM. Он смог сделать это после 6 месяцев работы, вставив зонд и проследив за внутренней шиной ПК Infineon SLE 66 CL. [49] [50]

В 2015 году в рамках разоблачений Сноудена выяснилось, что в 2010 году команда ЦРУ США заявила на внутренней конференции, что провела атаку дифференциального анализа мощности против TPM, которая могла извлекать секреты. [51] [52]

В 2018 году было сообщено о недостатке конструкции в спецификации TPM 2.0 для статического корня доверия для измерения (SRTM) ( CVE - 2018-6622 ). Это позволяет злоумышленнику сбрасывать и подделывать регистры конфигурации платформы, которые предназначены для безопасного хранения измерений программного обеспечения, которое используется для начальной загрузки компьютера. [53] Для его устранения требуются исправления прошивки для конкретного оборудования. [53] Злоумышленник злоупотребляет прерываниями питания и восстанавливает состояние TPM, чтобы заставить TPM думать, что он работает на незащищенных компонентах. [54]

Основные дистрибутивы надежной загрузки (tboot) до ноября 2017 г. подвержены динамической атаке на корень доверия для измерения (DRTM) CVE - 2017-16837 , которая влияет на компьютеры, работающие с технологией Intel Trusted eXecution Technology (TXT) для процедуры загрузки. [54]

В случае физического доступа компьютеры с TPM уязвимы для атак холодной загрузки, пока система включена или может быть загружена без парольной фразы из выключения или гибернации , что является настройкой по умолчанию для компьютеров Windows с полным шифрованием диска BitLocker. [55]

Споры о поколении слабых ключей в 2017 г. [ править ]

Основная статья: уязвимость ROCA

В октябре 2017 года сообщалось, что библиотека кода, разработанная Infineon , которая широко использовалась в ее TPM, содержала уязвимость, известную как ROCA, которая генерировала слабые пары ключей RSA, которые позволяли выводить закрытые ключи из открытых ключей . В результате все системы, зависящие от конфиденциальности таких слабых ключей, уязвимы для взлома, например кражи личных данных или подделки. [56]

Криптосистемы, которые хранят ключи шифрования непосредственно в TPM без ослепления, могут подвергаться особому риску для этих типов атак, поскольку пароли и другие факторы будут бессмысленными, если атаки могут извлекать секреты шифрования. [57]

Infineon выпустила обновления прошивки для своих TPM производителям, которые их использовали. [58]

Доступность [ править ]

В настоящее время TPM используется почти всеми производителями ПК и ноутбуков.

TPM реализуется несколькими поставщиками:

  • В 2006 году, с появлением первых моделей Macintosh с процессорами Intel, Apple начала поставлять Mac с TPM. Apple никогда не предоставляла официального драйвера, но был доступен порт под GPL . [59] Apple не поставляла компьютеры с TPM с 2006 года. [60]
  • Atmel производит устройства TPM, которые, по ее утверждению, соответствуют спецификации Trusted Platform Module версии 1.2, редакция 116 и предлагаются с несколькими интерфейсами (LPC, SPI и I2C), режимами (сертифицированный FIPS 140-2 и стандартный режим), температурными классами (коммерческий и промышленные), так и пакеты (ЦСОП и QFN). [61] [62] TPM Atmel поддерживает ПК и встроенные устройства. [61] Atmel также предоставляет комплекты разработки TPM для поддержки интеграции своих устройств TPM в различные встраиваемые конструкции. [63]
  • Google включает TPM в Chromebook как часть своей модели безопасности. [64]
  • Google Compute Engine предлагает виртуализированные TPM (vTPM) как часть продукта Google Cloud Shielded VMs . [65]
  • Infineon предоставляет как микросхемы TPM, так и программное обеспечение TPM, которое поставляется как OEM- версии с новыми компьютерами, а также отдельно от Infineon для продуктов с технологией TPM, соответствующей стандартам TCG. Например, Infineon предоставила Broadcom Corp. лицензию на программное обеспечение для управления TPM в 2004 году. [66]
  • В операционных системах Microsoft Windows Vista и более поздних версиях чип используется вместе с включенным компонентом шифрования диска под названием BitLocker . Microsoft объявила, что с 1 января 2015 года все компьютеры должны быть оснащены модулем TPM 2.0, чтобы пройти сертификацию оборудования Windows 8.1 . [67] Однако в обзоре Программы сертификации Windows в декабре 2014 г. это было сделано как необязательное требование. Однако для подключенных резервных систем требуется TPM 2.0 . [68] Виртуальные машины, работающие на Hyper-V, могут иметь собственный виртуальный модуль TPM, начиная с Windows 10 1511 и Windows Server 2016. [69]
  • В 2011 году тайваньский производитель MSI выпустил планшет Windpad 110 Вт с процессором AMD и TPM Infineon Security Platform, который поставляется с управляющим программным обеспечением версии 3.7. По умолчанию чип отключен, но его можно включить с помощью прилагаемого предустановленного программного обеспечения. [70]
  • Nuvoton предоставляет устройства TPM, реализующие спецификации Trusted Computing Group (TCG) версии 1.2 и 2.0 для приложений ПК. Nuvoton также предоставляет устройства TPM, реализующие эти спецификации для встроенных систем и приложений IoT (Интернет вещей) через хост-интерфейсы I2C и SPI. TPM Nuvoton соответствует Common Criteria (CC) с расширенным уровнем гарантии EAL 4, требованиям FIPS 140-2 уровня 1 и TCG Compliance, и все это поддерживается на одном устройстве. [ необходима цитата ]
  • Oracle поставляет TPM в своих последних системах серий X и T, таких как серверы серий T3 или T4. [71] Поддержка включена в Solaris 11 . [72]
  • PrivateCore vCage использует микросхемы TPM в сочетании с технологией Intel Trusted Execution Technology (TXT) для проверки систем при загрузке. [ необходима цитата ]
  • Гипервизор VMware ESXi поддерживает TPM с 4.x, а с 5.0 он включен по умолчанию. [73] [74]
  • Гипервизор Xen поддерживает виртуализированные TPM. Каждый гость получает собственный уникальный эмулируемый программный TPM. [75]
  • KVM в сочетании с QEMU поддерживает виртуализированные TPM. По состоянию на 2012 год он поддерживает передачу через физический чип TPM одному выделенному гостю. QEMU 2.11, выпущенный в декабре 2017 года, также предоставляет гостям эмулируемые TPM. [76]

Есть также гибридные типы; например, TPM может быть интегрирован в контроллер Ethernet , что устраняет необходимость в отдельном компоненте материнской платы. [77] [78]

Модуль доверенной платформы 2.0 (TPM 2.0) поддерживается ядром Linux, начиная с версии 3.20. [79] [80] [81]

Программные библиотеки TPM [ править ]

Чтобы использовать TPM, пользователю нужна программная библиотека, которая взаимодействует с TPM и предоставляет более удобный API, чем необработанная связь TPM. В настоящее время существует несколько таких библиотек TPM 2.0 с открытым исходным кодом. Некоторые из них также поддерживают TPM 1.2, но большинство микросхем TPM 1.2 теперь устарели, и современная разработка сосредоточена на TPM 2.0.

Обычно библиотека TPM предоставляет API с однозначными сопоставлениями с командами TPM. Спецификация TCG называет этот уровень Системным API (SAPI). Таким образом, пользователь имеет больший контроль над операциями TPM, однако сложность высока. Поэтому большинство библиотек также предлагают богатый API для вызова сложных операций TPM и скрытия некоторой сложности. В спецификации TCG эти два уровня называются Enhanced System API (ESAPI) и Feature API (FAPI).

В настоящее время существует только один стек, соответствующий спецификации TCG. Все другие доступные библиотеки TPM с открытым исходным кодом используют собственную форму расширенного API.

Сводка существующих библиотек TPM с открытым исходным кодом
Библиотеки TPMAPITPM 2.0TPM 1.2Аттестационный сервер или примерMicrosoft

Окна

LinuxОголенный метал
tpm2-tss [82]SAPI, ESAPI и FAPI

из спецификации TCG

даНетНет, но есть отдельный проект *дадаМожет быть**
ibmtss2 [83]Сопоставление 1: 1 с командами TPMдаЧастичноеДа, «IBM ACS» [84]дадаНет
go-tpm [85]Сопоставление 1: 1 с командами TPM

+ богатый API (мягкий слой сверху)

даЧастичноеДа, «Go-аттестация» [86]дадаНет
wolfTPM [87]Сопоставление 1: 1 с командами TPM

+ богатый API (обертки)

даНетДа, примеры есть в библиотекедадада

(*) Существует отдельный проект под названием «CHARRA» Фраунгофера [88], который использует библиотеку tpm2-tss для удаленной аттестации. Другие стеки имеют сопутствующие серверы аттестации или непосредственно включают примеры для аттестации. IBM предлагает свой сервер удаленной аттестации с открытым исходным кодом под названием «IBM ACS» на Sourceforge, а у Google «Go-Attestation» доступен на GitHub, в то время как «wolfTPM» предлагает примеры времени и локальной аттестации непосредственно в своем открытом коде, также на GitHub.

(**) Существует примечание по применению [89] о примере проекта для 32-разрядной SoC AURIX с использованием библиотеки tpm2-tss.

Эти библиотеки TPM иногда также называют стеками TPM, поскольку они предоставляют интерфейс для взаимодействия разработчика или пользователя с TPM. Как видно из таблицы, стеки TPM абстрагируются от операционной системы и транспортного уровня, поэтому пользователь может переносить одно приложение между платформами. Например, используя API стека TPM, пользователь будет таким же образом взаимодействовать с TPM, независимо от того, подключен ли физический чип через интерфейс SPI, I2C или LPC к хост-системе.

Сообщества разработчиков [ править ]

Растущая тема компьютерной безопасности и особенно аппаратной безопасности сделала возможное использование TPM популярным среди разработчиков и пользователей. В настоящее время существует как минимум два сообщества разработчиков, использующих TPM.

TPM.dev [ править ]

Это сообщество [90] имеет платформу, похожую на форум, где можно делиться информацией и задавать вопросы. На платформе можно было найти статьи и видеоуроки от членов сообщества и гостей. Есть регулярный еженедельный онлайн-звонок. Основное внимание этого сообщества уделяется снижению барьера для внедрения TPM и существующих программных библиотек TPM. Особое внимание уделяется удаленной аттестации и доверенным приложениям.

tpm2-software [ править ]

Это сообщество [91] сосредоточено вокруг использования TPM с библиотекой tpm2-tss. Сообщество участвует в разработке и другого программного обеспечения, связанного с tpm2, которое можно найти в их учетной записи GitHub. [92] Также есть учебные пособия и внешний раздел со ссылками на доклады и презентации на конференциях.

См. Также [ править ]

  • ARM TrustZone
  • Крипто-измельчение
  • Аппаратная безопасность
  • Аппаратный модуль безопасности
  • Чип Хэнчжи
  • Intel Management Engine
  • Процессор безопасности платформы AMD
  • База безопасных вычислений нового поколения
  • Модель угрозы
  • Надежные вычисления
  • Группа доверенных вычислений
  • Единый расширяемый интерфейс микропрограмм (UEFI)

Ссылки [ править ]

  1. ^ «ISO / IEC 11889-1: 2009 - Информационные технологии - Модуль доверенной платформы - Часть 1: Обзор» . ISO.org . Международная организация по стандартизации . Май 2009 г.
  2. ^ a b «Технические характеристики доверенного платформенного модуля (TPM)» . Группа доверенных вычислений . 1 марта 2011 г.
  3. ^ a b «Спецификация библиотеки TPM 2.0» . Группа доверенных вычислений. 1 октября 2014 . Проверено 21 апреля 2018 года .
  4. ^ «Исправления в спецификации 2.0 библиотеки TPM» . Группа доверенных вычислений. 1 июня 2015 . Проверено 21 апреля 2018 года .
  5. ^ Алинь Suciu, Tudor Carean (2010). «Тестирование генератора истинных случайных чисел для микросхем TPM». arXiv : 1008.2223 [ cs.CR ].
  6. ^ TPM Main Specification Level 2 (PDF) , Part 1 - Design Principles (Version 1.2, Revision 116 ed.) , Получено 12 сентября 2017 г. Наше определение RNG позволяет реализовать алгоритм генератора псевдослучайных чисел (PRNG). Однако на устройствах, где доступен аппаратный источник энтропии, ГПСЧ не требуется. Эта спецификация относится к реализации как ГСЧ, так и ГПСЧ в качестве механизма ГСЧ. Нет необходимости проводить различие между ними на уровне спецификации TCG.
  7. ^ «tspi_data_bind (3) - Шифрует большой двоичный объект данных» (страница руководства Posix) . Группа доверенных вычислений . Проверено 27 октября 2009 года .
  8. ^ Спецификация библиотеки доверенного платформенного модуля, семейство «2.0» (PDF) , часть 1 - архитектура, раздел 12, операционные состояния TPM (уровень 00, редакция 01.59), Trusted Computing Group , получено 17 января 2021 г.
  9. ^ TPM Main Specification Level 2 (PDF) , Part 3 - Commands (Version 1.2, Revision 116 ed.), Trusted Computing Group , получено 22 июня 2011 г.
  10. ^ «TPM - доверенный платформенный модуль» . IBM . Архивировано из оригинала 3 августа 2016 года.
  11. ^ Инструкция 8500.01 (PDF) . Министерство обороны США. 14 марта 2014 г. с. 43.
  12. ^ «Поддержка LUKS для хранения ключей в TPM NVRAM» . github.com . 2013 . Проверено 19 декабря 2013 года .
  13. ^ «Ошибка Microsoft Office Outlook Exchange 80090016 после замены системной платы» .
  14. ^ Грин, Джеймс (2012). «Intel Trusted Execution Technology» (PDF) (технический документ). Intel . Проверено 18 декабря 2013 года .
  15. ^ «Начало работы с виртуальными смарт-картами: пошаговое руководство» .
  16. ^ Автономные и доверенные вычисления: 4-я Международная конференция (Google Книги) . УВД. 2007. ISBN  9783540735465. Проверено 31 мая 2014 года .
  17. ^ Пирсон, Сиани; Балачев, Борис (2002). Надежные вычислительные платформы: технология TCPA в контексте . Прентис Холл. ISBN 978-0-13-009220-5.
  18. ^ "Метод SetPhysicalPresenceRequest класса Win32_Tpm" . Microsoft . Проверено 12 июня 2009 года .
  19. ^ «Список сертифицированных продуктов TPM» . Группа доверенных вычислений . Проверено 1 октября, 2016 .
  20. ^ "Реестр идентификаторов поставщиков TCG" (PDF) . 23 сентября 2015 года . Проверено 27 октября, 2016 .
  21. ^ Лич, Брайан; Брауэрс, Ник; Холл, Джастин; Макилхарджи, Билл; Фараг, Хани (27 октября 2017 г.). «Рекомендации TPM» . Документы Microsoft . Microsoft .
  22. ^ «Модуль доверенной платформы 2.0: краткое введение» (PDF) . Группа доверенных вычислений . 13 октября 2016 г.
  23. ^ GitHub - microsoft / ms-tpm-20-ref: эталонная реализация спецификации TCG Trusted Platform Module 2.0.
  24. ^ Новый программный стек TPM2 Intel с открытым исходным кодом - Phoronix
  25. ^ https://github.com/tpm2-software
  26. ^ Программный стек TPM2: введение в основной выпуск с открытым исходным кодом | Программное обеспечение Intel®
  27. ^ Программный стек TPM 2.0 с открытым исходным кодом упрощает внедрение системы безопасности
  28. ^ Infineon включает программный стек с открытым исходным кодом для TPM 2.0
  29. ^ Загрузка программного обеспечения TPM 2.0 от IBM | SourceForge.net
  30. ^ «Часть 1: Архитектура» (PDF) , Trusted Platform Module Library , Trusted Computing Group, 30 октября 2014 г. , получено 27 октября 2016 г.
  31. ^ https://www.dell.com/support/article/en-us/sln312590/tpm-1-2-vs-2-0-features?lang=en
  32. ^ http://aps2.toshiba-tro.de/kb0/TSB8B03XO0000R01.htm
  33. ^ a b Артур, Уилл; Челленер, Дэвид; Гольдман, Кеннет (2015). Практическое руководство по TPM 2.0: использование модуля новой доверенной платформы в новую эпоху безопасности . Нью-Йорк : Apress Media, LLC. п. 69. DOI : 10.1007 / 978-1-4302-6584-9 . ISBN 978-1430265832. S2CID  27168869 .
  34. ^ «Профиль защиты клиента ПК для TPM 2.0 - группа доверенных вычислений» . trustcomputinggroup.org .
  35. ^ «Спецификация мобильной эталонной архитектуры TPM 2.0 - Trusted Computing Group» . trustcomputinggroup.org .
  36. ^ "Профиль библиотеки TCG TPM 2.0 для тонких автомобилей" . trustcomputinggroup.org . 1 марта 2015 г.
  37. ^ а б в г д http://trustedcomputinggroup.org/wp-content/uploads/TPM-Main-Part-2-TPM-Structures_v1.2_rev116_01032011.pdf
  38. ^ http://trustedcomputinggroup.org/wp-content/uploads/mainP2Struct_rev85.pdf
  39. ^ http://trustedcomputinggroup.org/wp-content/uploads/TPM-main-1.2-Rev94-part-2.pdf
  40. ^ a b https://www.trustedcomputinggroup.org/wp-content/uploads/PC-Client-Specific-Platform-TPM-Profile-for-TPM-2-0-v43-150126.pdf
  41. ^ https://www.trustedcomputinggroup.org/wp-content/uploads/TCG_Algorithm_Registry_Rev_1.22.pdf
  42. ^ https://trustedcomputinggroup.org/wp-content/uploads/TCG-_Algorithm_Registry_Rev_1.27_FinalPublication.pdf
  43. ^ http://trustedcomputinggroup.org/wp-content/uploads/TPM-Main-Part-1-Design-Principles_v1.2_rev116_01032011.pdf
  44. ^ https://www.trustedcomputinggroup.org/wp-content/uploads/TPM-Rev-2.0-Part-1-Architecture-01.16.pdf
  45. ^ «Раздел 23: Команды расширенной авторизации (EA)», Библиотека доверенного платформенного модуля; Часть 3: Команды (PDF) , Trusted Computing Group, 13 марта 2014 г. , получено 2 сентября 2014 г.
  46. Столмен, Ричард Мэтью , «Можете ли вы доверять своему компьютеру», Проект GNU , Философия, Фонд свободного программного обеспечения
  47. ^ «Руководство пользователя TrueCrypt» (PDF) . truecrypt.org . TrueCrypt Foundation. 7 февраля 2012 г. с. 129 - через grc.com.
  48. ^ "FAQ" . veracrypt.fr . IDRIX. 2 июля 2017 года.
  49. ^ «Black Hat: Исследователь утверждает, что взломан процессор, используемый для защиты Xbox 360 и других продуктов» . 30 января 2012 года. Архивировано 30 января 2012 года . Проверено 10 августа 2017 года .CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
  50. ^ Szczys, Mike (9 февраля 2010). "Криптография TPM взломана" . HACKADAY . Архивировано из оригинального 12 февраля 2010 года.
  51. ^ Скахилл, Джереми Скахилл, Джош Бегли, Джереми; Begley2015-03-10T07: 35: 43 + 00: 00, Джош (10 марта 2015 г.). «Кампания ЦРУ по краже секретов Apple» . Перехват . Проверено 10 августа 2017 года .
  52. ^ «Уязвимости TPM для анализа мощности и уязвимость для Bitlocker - перехват» . Перехват . Проверено 10 августа 2017 года .
  53. ^ a b Сынхун, Хан; Ук, Шин; Чун-Хёк, Пак; Хёнчон, Ким (15–17 августа 2018 г.). Плохой сон: подрыв доверенного платформенного модуля во время сна (PDF) . 27-й симпозиум по безопасности USENIX. Балтимор, Мэриленд, США: Ассоциация USENIX . ISBN  978-1-939133-04-5. Архивировано (PDF) из оригинала 20 августа 2019 года.
  54. ^ a b Каталин Чимпану (29 августа 2018 г.). «Исследователи подробно описывают две новые атаки на микросхемы TPM» . Пищевой компьютер . Архивировано 7 октября 2018 года . Проверено 28 сентября 2019 года .
  55. Мелисса Майкл (8 октября 2018 г.). «Эпизод 14 | Новое изобретение атаки холодного перезапуска: современная версия для ноутбука» (подкаст). Блог F-Secure. Архивировано 28 сентября 2019 года . Проверено 28 сентября 2019 года .
  56. ^ Goodin, Dan (16 октября 2017). «Миллионы криптографических ключей с высокой степенью защиты повреждены недавно обнаруженной уязвимостью» . Ars Technica . Condé Nast .
  57. ^ «Может ли АНБ взломать Microsoft BitLocker? - Шнайер о безопасности» . www.schneier.com . Проверено 10 августа 2017 года .
  58. ^ " " Обновление TPM - Infineon Technologies " " . Проверено 19 марта 2021 года .
  59. ^ Сингх, Амит, "Надежные вычисления для Mac OS X" , книга по OS X.
  60. ^ «Данные вашего ноутбука небезопасны. Исправьте это» . Мир ПК . 20 января 2009 г.
  61. ^ а б «Дом - Технология микрочипов» . www.atmel.com .
  62. ^ "AN_8965 Руководство по выбору номера детали TPM - Замечания по применению - Microchip Technology Inc" (PDF) . www.atmel.com .
  63. ^ «Главная - Технология микрочипов» . www.atmel.com .
  64. ^ "Безопасность Chromebook: более безопасный просмотр" . Блог Chrome . Проверено 7 апреля 2013 года .
  65. ^ «Экранированные виртуальные машины» . Google Cloud . Проверено 12 апреля 2019 года .
  66. ^ «Надежный платформенный модуль (TPM) в сетевом адаптере» . Heise Online . Проверено 7 января 2019 года .
  67. ^ «Требования к сертификации оборудования Windows» . Microsoft.
  68. ^ «Требования к сертификации оборудования Windows для клиентских и серверных систем» . Microsoft.
  69. ^ «Что нового в Hyper-V на Windows Server 2016» . Microsoft.
  70. ^ «TPM. Полная защита для душевного спокойствия» . Winpad 110Вт . MSI.
  71. ^ «Серверы Oracle Solaris и Oracle SPARC T4 - разработанные вместе для развертывания корпоративного облака» (PDF) . Oracle . Проверено 12 октября 2012 года .
  72. ^ "tpmadm" ( справочная страница). Oracle . Проверено 12 октября 2012 года .
  73. ^ Уровень безопасности и виртуализации , VMware.
  74. ^ Включение Intel TXT на серверах Dell PowerEdge с VMware ESXi , Dell.
  75. ^ «Модуль виртуальной доверенной платформы XEN (vTPM)» . Проверено 28 сентября 2015 года .
  76. ^ "Журнал изменений QEMU 2.11" . qemu.org . 12 декабря 2017 года . Проверено 8 февраля 2018 года .
  77. ^ «Замена уязвимого программного обеспечения безопасным оборудованием: доверенный платформенный модуль (TPM) и его использование на предприятии» (PDF) . Группа доверенных вычислений. 2008 . Проверено 7 июня 2014 года .
  78. ^ «NetXtreme Gigabit Ethernet Controller со встроенным TPM1.2 для настольных компьютеров» . Broadcom. 6 мая 2009 . Проверено 7 июня 2014 года .
  79. ^ Поддержка TPM 2.0 отправлена ​​для ядра Linux 3.20 - Phoronix
  80. ^ Поддержка TPM 2.0 продолжает развиваться в Linux 4.4 - Phoronix
  81. ^ С Linux 4.4 TPM 2.0 приобретает форму для дистрибутивов - Phoronix
  82. ^ tpm2-software / tpm2-tss , Linux TPM2 & TSS2 Software, 18 ноября 2020 г. , получено 20 ноября 2020 г.
  83. ^ «IBM TSS для TPM 2.0» . ibmswtpm.sourceforge.net . Проверено 20 ноября 2020 года .
  84. ^ "Клиентский сервер аттестации IBM TPM" . SourceForge . Проверено 20 ноября 2020 года .
  85. ^ google / go-tpm , 18 ноября 2020 г. , получено 20 ноября 2020 г.
  86. ^ google / go-attestation , 19 ноября 2020 г. , получено 20 ноября 2020 г.
  87. ^ wolfSSL / wolfTPM , wolfSSL, 18 ноября 2020 г. , получено 20 ноября 2020 г.
  88. ^ Fraunhofer-SIT / charra , Институт Фраунгофера по обеспечению информационных технологий, 26 августа 2020 , извлекаться 20 ноября, +2020
  89. ^ AG, Infineon Technologies. "Плата OPTIGA ™ TPM SLI 9670 A-TPM - Infineon Technologies" . www.infineon.com . Проверено 20 ноября 2020 года .
  90. ^ "TPMDeveloper" . TPMDeveloper . Проверено 20 ноября 2020 года .
  91. ^ "Сообщество программного обеспечения tpm2" . Сообщество программного обеспечения tpm2 . Проверено 20 ноября 2020 года .
  92. ^ «Программное обеспечение Linux TPM2 и TSS2» . GitHub . Проверено 20 ноября 2020 года .

Дальнейшее чтение [ править ]

  1. TPM 1.2 Защита профиля ( Common Criteria Protection Profile ), Trusted Computing Group.
  2. Спецификация профиля TPM (PTP) клиентской платформы ПК (дополнительные спецификации TPM 2.0 применительно к TPM для клиентов ПК), Trusted Computing Group.
  3. Профиль защиты клиента ПК для TPM 2.0 ( профиль защиты общих критериев для TPM 2.0 применительно к клиентам ПК), Trusted Computing Group.
  4. Trusted Platform Module (TPM) (веб-страница рабочей группы и список ресурсов), Trusted Computing Group.
  5. "OLS: Linux и доверенные вычисления" , LWN.
  6. Модуль доверенной платформы (подкаст), GRC, 24:30.
  7. Настройка TPM (для Mac OS X) , способ Comet.
  8. «Безопасность доверенного платформенного модуля (TPM): заявление в документе Принстона от 26 февраля» (PDF) , бюллетень (пресс-релиз), Trusted Computing Group, февраль 2008 г..
  9. «Взять под контроль TCPA» , журнал Linux.
  10. Атака сброса TPM , Дартмут.
  11. Надежные платформы (технический документ), Intel, IBM Corporation, CiteSeerX  10.1.1.161.7603.
  12. Гаррет, Мэтью, Краткое введение в TPM , Ширина мечты.
  13. Мартин, Эндрю, Trusted Infrastructure "101" (PDF) , PSU.
  14. Использование TPM: машинная аутентификация и аттестация (PDF) , введение в доверенные вычисления, обучение открытой безопасности.
  15. Корень доверия для измерения: смягчение проблемы ложной конечной точки TNC (PDF) , CH : HSR, 2011.