Tpm device что это в биосе

Когда-нибудь задумывались, какие устройства поддерживают Windows Hello, проверку по отпечаткам пальцев и важные биометрические данные — и где они хранят эти данные? Хранение этих данных на вашем компьютере или телефоне может быть рискованным. Это где TPM или Trusted Platform Module входит в картину. В этом посте мы узнаем о модуле доверенной платформы и узнаем, как проверить наличие чипа TPM.

Trusted Platform Module или TPM — это специализированный и специализированный чип, в котором хранятся криптографические ключи. Он действует как защита конечных точек для устройств, которые его поддерживают.

Когда кому-то принадлежит устройство, оно генерирует два ключа —

Ключ одобрения
Корневой ключ хранения.

Эти ключи доступны только на аппаратном уровне. Никакая программа не может получить доступ к этим ключам.

Помимо этих ключей, есть еще один ключ, называемый ключом идентификации или AIK. Он защищает аппаратное обеспечение от несанкционированного изменения прошивки и программного обеспечения.

Как проверить, есть ли у вас чип TPM

Есть несколько способов проверить наличие чипа TPM. Однако вы должны знать, что он должен быть включен на аппаратном уровне, чтобы программное обеспечение безопасности, такое как Bitllocker, могло его использовать.

Использование управления TPM
Включить его в BIOS или UEFI
Использование узла безопасности в диспетчере устройств
Используя команду WMIC.

1] Open Trusted Management Module Management

Введите tpm.msc в командной строке и нажмите Enter. Будет запущено управление доверенным модулем управления.

Если это говорит:

Совместимый TPM не может быть найден на этом компьютере. Убедитесь, что этот компьютер имеет 1.2 TPM или более поздней версии, и он включен в BIOS.

Или что-то подобное, то у вас TPM на компьютере отсутствует.

Если это говорит:

TPM готов к использованию

2] Регистрация в BIOS или UEFI

Перезагрузите компьютер и загрузитесь в BIOS или UEFI . Найдите раздел безопасности и проверьте, есть ли параметр, похожий на TPM Support или Security Chip или что-то еще. Включите его и перезагрузите компьютер после сохранения настроек.

3] Проверьте с помощью диспетчера устройств

Используйте Win + X + M, чтобы открыть диспетчер устройств. Найти, если есть узел Устройства безопасности. Если да, разверните его и TPM с номером модуля.

4] Используйте WMIC в командной строке

В командной строке с повышенными привилегиями выполните команду:

Будет отображен список пары ключ-значение.

Если в результате вы видите True, это означает, что TPM включен; иначе вы должны увидеть, что «экземпляры не доступны».

Мы надеемся, что руководство было простым и достаточно простым, чтобы вы могли выяснить, есть ли на компьютере чипсет TPM.

Trusted Platform Module

Другие идентичные названия опции: Security Chip, Execute TPM Command.

В число опций BIOS, предназначенных для защиты информации компьютера, входит опция Trusted Platform Module. Она позволяет включить поддержку одноименного аппаратно-программного комплекса защиты информации. Пользователь может выбрать всего два варианта значений опции – Enabled (Включено) и Disabled (Выключено).

Принцип работы

Вряд ли найдется такой пользователь, которого бы совершенно не волновала проблема защиты конфиденциальной информации, расположенной на его компьютере. В коммерческой и промышленной сфере на решение этой проблемы тратятся огромные средства, но до сих пор эффективного и при этом недорогого средства, позволяющего защитить компьютерные данные, так и не было найдено.

Система Trusted Platform Module является одной из попыток удовлетворить насущную потребность в подобной технологии. Хотя она и не является панацеей, тем не менее, она способна значительно повысить степень защиты информации как на уровне компьютерных сетей, так и на уровне отдельных компьютеров и прочих устройств, содержащих важные данные.

Trusted Platform Module (TPM, доверенный платформенный модуль) – это программно-аппаратный комплекс для защиты информации. Комплекс может устанавливаться на любые компьютеры и даже на отдельные накопители и мобильные устройства, такие как смартфоны. Чаще всего комплексом TPM оснащаются ноутбуки. Что немаловажно, компьютерные системы, оснащенные аппаратными модулями TPM, стоят не намного дороже, чем аналогичные по характеристикам системы, не оснащенные TPM.

Основные свойства данных, которые призвана обеспечить технология TPM:

Стандарт TPM был разработан рядом известных производителей программного и аппаратного обеспечения, в число которых входят Microsoft, HP, Intel, IBM. Впоследствии к их числу присоединились такие компании, как Sun, AMD, Sony и Verisign.

Использование TPM позволяет предотвратить взлом компьютера и утечку важной информации, заражение его троянскими программами и вирусами, сохранить целостность лицензионного программного обеспечения, обеспечить защиту сетевого трафика. Система TPM может гарантировать защиту ПО от модификации, а также защиту данных от копирования.

Накопители, поддерживающие систему TPM, способны осуществлять аппаратное шифрование данных, что обеспечивает защиту конфиденциальной информации. При авторизации пользователя в системе TPM могут использоваться различные методы, в том числе и биометрические, такие, как сканирование отпечатков пальцев.

Спецификация TPM позволяет использовать как полностью программную, так и аппаратно-программную реализацию технологии. На практике в большинстве случае используется второй вариант, как дающий наибольшую степень защиты.

Основой системы TPM является специальный чип, встроенный в материнскую плату. Этот чип, который часто называется криптографическим процессором или просто криптопроцессором, содержит необходимые для защиты информации программные и аппаратные средства. Его назначение – хранить и генерировать ключи, производить ассиметричное шифрование и хэширование данных. Микросхемы криптопроцессоров на сегодняшний день изготавливаются многими производителями и установлены на миллионах компьютеров.

При загрузке компьютера с установленной системой TPM при помощи криптопроцессора производится проверка на идентичность всех основных компонентов компьютера, как аппаратных, так и программных, таких, как BIOS и операционная система. В случае успеха подобной проверки компьютер считается работающим в так называемом проверенном состоянии. В этом состоянии могут исполняться любые приложения, в том числе, и те, которые требуют защиты и сохранения конфиденциальности данных, а также может осуществляться доступ к зашифрованным данным.

На программном уровне для работы TPM необходима поддержка технологии со стороны операционной системы, а также наличие специального программного обеспечения. Технология Trusted Platform Module поддерживается большинством современных операционных систем линейки Windows, начиная с Windows XP SP2, а также современными версиями Linux.

Опция Trusted Platform Module позволяет включить в BIOS поддержку данной технологии. Она доступна лишь в том случае, если материнская плата компьютера оснащена криптопроцессором-микросхемой TPM. Выбор значения Enabled позволяет пользователю включить эту микросхему, а значения Disabled – выключить.

Стоит ли включать?

Ответ на этот вопрос зависит от того, установлена ли у вас на компьютере система Trusted Platform Module. Если да, то систему стоит включить. Однако необходимо помнить, что использование системы не является панацеей и не всегда может заменить применение традиционных антивирусов, брандмауэров и прочих средств компьютерной безопасности.

Производители BIOS предлагают пользователю выбор, и вы всегда сможете выключить данную систему, если вы не нуждаетесь в ее помощи. Само собой, если ваш компьютер оснащен старой операционной системой, не поддерживающей TPM (Windows XP SP1 и более старые ОС), то включение ее также не имеет никакого смысла.

Как обновить и очистить прошивку процессора безопасности TPM

Если у вас есть ноутбук или ПК с поддержкой TPM, и вы получаете сообщение в Центре безопасности Windows Defender, в котором сообщается, что вам необходимо обновить свой процессор безопасности или прошивку TPM, вам следует обновить его по приоритету. В этом руководстве я расскажу, как можно очистить TPM и обновить прошивку безопасности TPM.

Что такое TPM в Windows 10?

Trusted Platform Module (TPM) — является специализированным чипом. TPM обычно устанавливается на системную плату компьютера и взаимодействует с остальными компонентами системы с помощью аппаратной шины. Он может хранить ключи шифрования RSA, специфичные для хост-системы и аппаратной аутентификации. Чип TPM также содержит «пару» ключей RSA, называемую ключом подтверждения. Пара поддерживается внутри чипа и не может быть доступна с помощью программного обеспечения. Короче говоря, он может хранить важные данные, включая отпечатки пальцев, данные о лицах и т. д.

Как проверить есть ли TPM на компьютере?

Нажмите сочетание кнопок Win + R и введите tpm.msc. Модуль TPM может находиться в одном из следующих состояний: Готов к использованию, Готов к использованию в режиме ограниченной функциональности и Не готов к использованию. Чтобы воспользоваться большинством функций TPM в Windows 10, модуль TPM должен быть Готов к использованию.

Важно: Если у вас будет модуль, то вы сможете обновить и очистить TPM именно в этих параметрах справа. По этому вы можете не прибегать ниже к пунктам. Но если что пойдет не так, ниже пункты именно для вас.

Примечание: При включении TPM могут быть проблемы с bitlocker, отключите bitlocker при включении модуля TPM.

Как обновить прошивку процессора безопасности TPM

Обновление для TPM обычно содержит исправление для уязвимости безопасности, которая может повлиять на безопасность операционной системы. В этом обновлении будет рассмотрена уязвимость, которую вам необходимо будет загрузить и установить. Также возможно, что обновления прошивки отправляются OEM-производителями, которые быстрее по сравнению с Windows Update.

Загрузка и установка обновлений для Windows

Это лучший способ обновить ваш TPM. Если у вас отключены автоматические обновления, то обновите windows до последней версии через центр обновления Windows или установите патчи вручную , через каталог micosoft.

Установка обновлений прошивки OEM-производителями

Многие OEM-производители, включая Microsoft, предлагают обновления встроенного ПО отдельно. Если обновление прошивки TPM не было включено в Центр обновления Windows, то вам придется вручную загрузить и применить его. Ниже приведен список OEM-производителей, с которых вы можете загрузить обновление.

Как очистить TPM

После того как вы установили обновление прошивки либо через Центр обновления Windows, либо с веб-сайта OEM, вам также потребуется очистить TPM. Это важно для обеспечения безопасности данных. Очистка вашего TPM приведет к сбросу вашего процессора безопасности до его настроек по умолчанию.

Откройте Защитник Windows 10, перейдите Безопасность устройств. Далее найдите Устранение неполадок процессора безопасности и нажмите Очистить TPM. Перед завершением процесса необходимо перезагрузить устройство.

Очистить TPM с помощью PowerShell

Есть команда, которая сбрасывает модуль Trusted Platform Module в состояние по умолчанию и удаляет значение авторизации владельца и все ключи , хранящиеся в модуле TPM. Эта команда использует значение авторизации владельца, хранящееся в реестре, вместо указания значения или использования значения в файле.

Откройте PowerShell от имени администратора и введите Clear-Tpm.

Trusted Platform Module

Другие идентичные названия опции: Security Chip, Execute TPM Command.

Принцип работы

Основные свойства данных, которые призвана обеспечить технология TPM:

Стоит ли включать?

Не запускается компьютер

Новый компьютер запускается не сразу (через 2 секунды выключается и запускается нормально).
собрал системный блок, все подключено, все работает прекрасно, но вот есть одна непонятная.

При включении ПК, компьютер запускается и сразу выключается, потом опять запускается, и работает нормально
Доброго времени суток уважаемы посетители форума, у меня такая проблема(я в компьютерах не.

Компьютер не запускается (включается, но не запускается)
День добрый! Всех с наступившим новым годом! Месяц назад купили родителям компьютер. Несколько.

Не запускается компьютер
Вообщем, по началу компьютер не стартовал (мигала лампочка "MemOK", кулера крутились, изображения.

Что-то подключено к TPM разъёму?

yonis78, нет, не подключено

Добавлено через 8 часов 29 минут
yonis78, В интернете полазил и нашел похожую проблему. Парень решил ее путем загрузки рабочего профиля биос. Писал что нашел это на IXBT. Спросить у него не смог, так как в сети в последний раз был 2007-ом году. У меня есть просьба, если вам не сложно, конечно. Поищите на форуме IXBT или где-нибудь про профиль для этой материнки. Я искал, но пока ничего не нашел.

Вопрос:
Ноут asus m70vm, в ноуте 2 hdd. Проблема следующая.
В BIOS пропал один из винтов. Если физически отключить один из них, второй нормально определяется и работает (пробовал оба по очереди). Так же пробовал подключать заведомо рабочий винт от настольного компа к eSata + один винт внутренний, результат — внутренний не определяется (внутренние пробовал оба по очереди). Если в BIOS переключить в режим IDE вместо AHCI (compatable vs enhanced) работают оба внутренних винта, система грузится.
Одновременно с отказом AHCI появилась ошибка BIOS (после опроса устройств) Can’t detect TPM device. В моем ноуте такого девайса нет, в биосе упоминания об этом девайсе тоже нет.
Хочется заменить один из хардов на ssd, соответственно нужен AHCI.
Собственно вопрос, кто нибудь может хотя бы предположить в чем проблема?

ps BIOS перепрошивал (той же версией прошивки, что была на момент появления проблемы, собственно это последняя версия)

Ответ:
Может кому пригодится:
Цитата:
This bug seems to be in every BIOS version so be careful!
DON’T USE/LOAD THE «MANUFACTOR DEFAULTS» IN BIOS. If you’ve done it, go and quickly load «User defaults» and set up the BIOS you want. The manufactor defaults option will do some really bad things
The notebook will boot again and again
In the POST screen of the BIOS you will see «Can’t detect TPM device»
Massivly problems with second hard drive
Problems with DVD device

Суть — баг в BIOS (нельзя использовать пункт «Load manufacture defaults»). Исправляется пунктом «User defaults» с последующей настройкой «под себя».

Tpm device что это в БИОСе?

Как обновить и очистить прошивку процессора безопасности TPM

Что такое TPM в Windows 10?

Как проверить есть ли TPM на компьютере?

Примечание: При включении TPM могут быть проблемы с bitlocker, отключите bitlocker при включении модуля TPM.

Как обновить прошивку процессора безопасности TPM

Загрузка и установка обновлений для Windows

Установка обновлений прошивки OEM-производителями

Как очистить TPM

Откройте Защитник Windows 10, перейдите Безопасность устройств. Далее найдите Устранение неполадок процессора безопасности и нажмите Очистить TPM. Перед завершением процесса необходимо перезагрузить устройство.

Очистить TPM с помощью PowerShell

Откройте PowerShell от имени администратора и введите Clear-Tpm.

Простой компьютерный блог для души)

Intel Platform Trust Technology что это в биосе?

Всем привет. Говорим про биос, а вернее о пункте в нем под названием Intel Platform Trust Technology. Итак, я пошел в поисковик искать информацию своими секретными способами. Значит ребята нашел инфу одну, но она на английском. Я в гугловском переводчике перевел, но все равно не все понятно…

Короче тема такая. Пункт Intel Platform Trust Technology включает какой-то виртуальный TMP, так вот, пишется что версия, которая эмулируется, может быть 2.0, и вот прикол в том что она не поддерживается в Windows 7 и поэтому будет неопознанное устройство. Пишется, что можно скачать обновление для винды, неопознанное устройство пропадет, но сама штука TMP все равно работать не будет. Это все относится к ПК с поддержкой TPM v2.0, с версией TPM v1.2 все нормально и Windows 7 поддерживает. Я понимаю что понятного тут мало, но примерно кое как образно я думаю все же понятно.

Так ребята, вот еще раскопал инфу. Короче Trusted Platform Module это и есть TPM. И это какой-то криптопроцессор, в котором хранятся криптографические ключи для защиты информации. То есть это какое-то хранилище паролей и ключей шифрования. Блин, скажу честно, это непонятная дичь.

В общем пока мое мнение такое, что пункт Intel Platform Trust Technology в биосе включает то, без чего можно жить спокойно. Эта штука TPM она нужна для защиты инфы, все верно, но знаете что именно это имеется ввиду? Вот читаю, что это может быть использовано для проверки легального использования защищенного цифрового контента, например музыка. Штука TPM может работать нормально только если есть аппаратная поддержка и программная.

Ну а вот ребята этот пункт в биосе, гляньте:

Вот еще примерчик, смотрите:

Ну а вот ребята уже новый модный биос и здесь тоже есть пункт Intel Platform Trust Technology:

Если у вас Windows 10 стоит и если есть этот модуль TPM, то у вас в диспетчере устройств он будет вот так отображаться:

А если нажать правой кнопкой и выбрать пункт Свойства, то будет такое окошко:

Да, все верно, я вот читаю, что драйвер TPM для Windows 7 есть, но все равно работать все четко не будет. Мое мнение что лучше вообще отключить Intel Platform Trust Technology в биосе..

Тем не менее господа, я нашел обновление, которое типа добавляет поддержку TPM 2.0 в Windows 7, скачать его можно отсюдова:

Можете попробовать скачать, особого смысла я лично в этом не вижу, но все же. И еще, я это обновление не ставил, у меня вообще Windows 10 и я не знаю поможет оно убрать неопознанное устройство или нет, но думаю что поможет =)

Господа, на этом все, информационный штурм окончен. Удачи вам и позитивных эмоций в жизни!

Навигация по записям

Intel Platform Trust Technology что это в биосе? : 10 комментариев

Недавно разбирался с модулями TPM, т.к. у одного клиента крупный заказ на ПК с этими модулями.

Модули, которые мы ставили, производства ASRock, под разъем TPM-S, сами материнки тоже ASRock. Хотя матери могут быть другие, главное, чтобы разъем был TPM-S. У Асуса, например, другой разъем, TPM-M. Хотя и модули ТРМ они свои выпускают.

Основная фишка следующая. В процессорах Intel Core, начиная с 4-го поколения, есть свой встроенный модуль TPM стандарта TPM 2.0. Эта технология называется Intel Platform Trust Technology (РТТ). Ее можно включить или отключить в БИОСе. Если ее включить и также включить в БИОСе поддержку TPM, то увидите, что у вас в системе имеется модуль TPM 2.0. Даже если отдельный модуль в материнку не вставлен.

У этого встроенного модуля, если смотреть в оснастке tpm.msc, производитель INTC (видимо, Intel Corporation) и стандарт 2.0.

Если ставите в материнку отдельный модуль TPM и хотите работать с ним, нужно отключать РТТ в БИОСе, а поддержку ТРМ оставлять включенной.

В нашем случае при этом в tpm.msc было видно, что производитель модуля WEC, версия 3.91 и стандарт 1.2. Windows 8 и 10 тоже спокойно работают с 1.2, как и Windows 7.

В общем-то, как раз в Windows 8 и 10 никаких проблем нет ни со встроенным модулем РТТ ТРМ, ни с отдельным. Есть проблема с РТТ ТРМ в Windows 7, и она нерешаемая. То есть заставить этот модуль работать в Windows 7 никак не получится.

Windows, как известно, можно поставить на диск в одном из двух режимов — MBR или GPT. Если системный диск в режиме MBR, режим загрузки Windows называется Legacy mode, если системный диск GPT, загрузка происходит в режиме UEFI.

Так вот, модуль РТТ ТРМ не хочет работать в Windows 7 на диске MBR. Когда семерку только ставишь на диск, она не понимает, что это за устройство и игнорирует его. Установка проходит, загрузка идет нормально, вроде все хорошо. Но как только ставишь обновление KB2920188 и перегружаешься (оно это требует), при перезагрузке система зависает. И все, пока РТТ в БИОСе не отключишь, Windows больше не загрузится.

Можно поставить Windows 7 в GPT. В этом случае РТТ ТРМ вроде бы работает и не мешает системе. Установка KB2920188 проходит без проблем. Модуль видится в tpm.msc. Его можно очистить или инициализировать при необходимости. В этой оснастке после этого будет показываться, что модуль функционирует и готов к работе.

Но как только пытаешься включить BitLocker, получаешь полный облом. BitLocker выдает «Диспетчер загрузки данной операционной системы несовместим с шифрованием диска BitLocker. Обновите или исправьте диспетчер загрузки (BOOTMGR) с помощью средства Bootrec.exe в среде восстановления Windows.»

То есть, хотя сама Windows 7 нормально работает с GPT диска, долбанный семерочный BitLocker не понимает GPT! И все, на этом полный затык со встроенным модулем ТРМ. При использовании семерки приходится его отключать.

Поэтому внешний модуль очень выручает в случае Windows 7. Он нормально работает, когда семерка грузится с MBR. И BitLocker нормально включается и шифрует диск. Он не такой продвинутый, как в Win 8 и 10, шифрует сразу весь диск, а не только занятое пространство. Поэтому шифрование происходит довольно долго. Но потом все работает нормально.

Почему нужно обязательно отключать РТТ при наличии внешнего модуля ТРМ? Потому что РТТ имеет приоритет над внешним, и, если его не отключить, вы будете видеть в системе не внешний модуль, а встроенный. Из двух виден только один, видимо, стандарт так устроен, что вы можете иметь не более одного активного модуля ТРМ. Возможно, вы будете ошибочно считать, что работаете с внешним модулем, а по факту обращаетесь к встроенному.

Вот такая инфа. Думаю, кому-нибудь может пригодиться. Про РТТ вообще в инете мало что нагугливается. А тут живой опыт

Спасибо за комментарий такой развернутый. Уверен, что эта информация будет полезна. Вы внесли вклад информационный в сайт))) Я просто уставший, спасибо мое реальное!

Да, я забыл еще написать. РТТ не работает с MBR диском и в случае Windows 8.1 и 10 тоже.

В отличие от 7ки, когда ставишь 10ку в MBR, сразу после начального копирования файлов и перезагрузки винда сваливается в синий экран с ошибкой Memory Management. Видимо, потому что в системе уже есть драйвер этого устройства, и винда пытается его задействовать. В 8ке похожая картина.

Если системный диск GPT, все отлично работает в 8ке и 10ке.

Так что отдельный модуль еще будет полезен, если в 10ке или 8ке вам нужно шифрование диска, но по какой-то причине он должен быть MBR.

Спасибо вам ОГРОМНОЕ!

Я сегодня прочитал все таки все что вы написали. Я так понимаю, что ТРМ это аппаратное выполнение части алгоритма (вроде AES). И вот тут только один вопрос. Ведь AES участвует в шифровании. Но это никак не относится к архиваторам, они не будут быстрее сжимать, верно? Но при этом HTTPS вроде должно работать лучше, мне так показалось. Думаю что легче было бы понять, где вообще используется AES, а то их, насколько я знаю есть несколько ходовых алгоритмов.

Это шифрование, но не AES, а по более сильному алгоритму — RSA. Насколько я понимаю, в случае ТРМ все эти операции — генерация и хранение ключей, шифрование и т.д. — производятся с целью удостовериться, что вся работа происходит на доверяемой системе. То есть происходит увязка всех аппаратных и программных средств в единое целое с использованием криптографии.

Если после этого, например, переставить жесткий диск в другую систему, то прочитать его будет невозможно. Хотя мне лично непонятно, что мешает также и ТРМ модуль с собой забрать, раз уж злоумышленник получил физический доступ к компьютеру. Вроде этот стандарт предусматривает защиту и от таких ситуаций. Но я глубоко не вникаю, ясно, что обычным пользователям эта фича абсолютно не нужна.

Аппаратная поддержка AES в процессоре, на мой взгляд, более полезна. Протокол AES применяется в ситуациях, более близких к реальной жизни. Например, при работе Wi-Fi и при установке защищенного соединения VPN.

Спасибо за ответ

Продолжение экспериментов показало, что все вышеописанное относится только к материнкам ASRock. На MSI и Asus все замечательно работает на любой ОС — 7, 8.1 или 10. Что РТТ, что отдельный ТРМ.

Также протестировал встроенный ТРМ у AMD Ryzen. Там эта технология называется AGESA. Работает. Правда, удалось прогнать тест только на Windows 10.

Да, дополню. Я считаю, если вам не нужно шифрование диска с помощью BitLocker, то и ТРМ вам вообще не нужен. Нормальным людям нет смысла шифровать свой диск, это только где-нибудь в корпоративе требуется, да и то редко.

Поэтому стоит отключить в БИОСе как Platform Trust Technology, так и всю поддержку TPM.

Плюс в карму обеспечен

Если я правильно понял, то для работы с Ubuntu этот модуль можно отключить? Так?

Trusted Platform Module

В вычислительной технике, Trusted Platform Module (TPM) — название спецификации, описывающей криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например в виде «чипа TPM» или «устройства безопасности TPM» (Dell). Раньше назывался «чипом Фрица» (бывший сенатор Эрнест «Фриц» Холлингс известен своей горячей поддержкой системы защиты авторских прав на цифровую информацию, DRM). Спецификация TPM разработана Trusted Computing Group (англ.). Текущая версия спецификации TPM — 1.2 ревизия 116, издание 3 марта 2011. [1]

Содержание

Краткий обзор

Trusted Platform Module (TPM), криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи так и для шифрования/дешифрования), с той же степенью неповторяемости, как и генератор случайных чисел. Также этот модуль включает следующие возможности: удалённую аттестацию, привязку, и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы, и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение, или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. ТСЗАП). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют.

Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система.

Архитектура TPM

В спецификации TCG описан минимальный набор алгоритмов и протоколов, которым должен удовлетворять чип TPM. Кроме того, производителем могут быть реализованы дополнительные алгоритмы и протоколы (которые, разумеется, должны быть описаны производителем в соответствующей документации). [2]

В архитектуре чипа реализованы следующие защитные алгоритмы:

защищённое управление памятью,
шифрование шины и данных,
активное экранирование.

Активное экранирование позволяет чипу детектировать электрическое тестирование и, в случае необходимости, блокировать чип. Кроме того, при изготовлении TPM используются и нестандартные технологические шаги, такие как запутывание топологии слоёв ИС. Эти меры значительно усложняют взлом чипа, увеличивают стоимость взлома, что ведёт к уменьшению потенциальных нарушителей. [3]

Ввод/Вывод (англ. I/O)

Этот компонент управляет потоком информации по шине. Направляет сообщения к соответствующим компонентам. I/O компонент вводит в действие политику доступа, связанную с функциями TPM.

Криптографический процессор

Осуществляет криптографические операции внутри TPM. Эти операции включают в себя:

Генерация асимметричных ключей (RSA);
Асимметричное шифрование/расшифрование(RSA);
Хэширование (SHA-1);
Генерация случайных чисел.

TPM использует эти возможности для генерации случайных последовательностей, генерации асимметричных ключей, цифровой подписи и конфиденциальности хранимых данных. Также TPM поддерживает симметричное шифрование для внутренних нужд. Все хранимые ключи по силе должны соответствовать ключу RSA длиной 2048 бит.

Энергонезависимая память (англ. Non-Volatile Storage)

Используется для хранения ключа подтверждения, корневого ключа (англ. Storage Root Key, SRK), авторизационных данных, различных флагов.

Ключ подтверждения (англ. Endorsement Key, EK)

EK — ключ RSA размером 2048 бит. Открытая чаcть называется PUBEK, закрытая — PRIVEK. EK генерируется до того, как конечный пользователь получит платформу. Последующие попытки сгенерировать или вставить EK не должны выполняться. Таким образом, EK — ключ, связанный с чипом. TPM должен гарантировать, что PRIVEK не будет доступен вне чипа. Используется только для установления владельца TPM и установления AIK.

Регистры конфигурации платформы (Platform Configuration Registers, PCR)

Могут хранится как в энергонезависимой, так и в энергозависимой памяти. Эти регистры сбрасываются при старте системы или при потери питания. TCG предписывает минимальное количество регистров (16). Регистры 0-7 зарезервированы для нужд TPM. Регистры 8-15 доступны для использования операционной системой и приложениями. Размер всех регистров — 160 бит.

Ключи подтверждения подлинности (англ. Attestation Identity Keys, AIK)

Эти ключи должны быть постоянными, но рекомендуется хранить AIK в виде блобов в постоянной внешней памяти (вне TPM), а не внутри энергонезависимой памяти TPM. TCG предполагает, что производители обеспечат достаточно места для многих блобов AIK, которые будут одновременно загружаться в энергозависимую память TPM. AIK — ключ RSA длиной 2048 бит. Фактически, TPM может сгенерировать неограниченное количество AIK. TPM должен защищать закрытую часть асимметричного ключа. AIK не используется для шифрования, только для подписей. Переход AIK от одного TPM к другому должен быть запрещён.

Генератор случайных чисел (англ. Random Number Generator, RNG)

Используется для генерации ключей и случайностей в сигнатурах. TPM должен быть способным обеспечить 32 случайных бита на каждый вызов. RNG чипа состоит из следующих компонентов:

Источник энтропии и коллектор

Источник энтропии — процесс (или процессы), обеспечивающие энтропию. Такими источниками могут быть шум, счётчик тактов процессора и другие события. Коллектор энтропии — процесс, который собирает энтропию, удаляет смещение, выравнивает выходные данные. Энтропия должна передаваться только регистру состояния.

Регистр состояния

Реализация регистра состояния может использовать 2 регистра: энергозависимый и независимый. При старте TPM загружает энергозависимый регистр из энергонезависимого. Любое последующее изменение регистра состояния от источника энтропии или от смешивающей функции влияет на энергозависимый регистр. При выключении TPM записывает текущее значение регистра состояния в энергонезависимый регистр (такое обновление может происходить и в любое другое время). Причиной такой реализации является стремление реализовать энергонезависимый регистр на флэш-памяти, количество записи в которую ограничено. TPM должен обеспечить отсутствие экспорта регистра состояния.

Смешивающая функция

Берёт значение из регистра состояния и выдаёт выходные данные RNG. Каждое использование смешивающей функции должно изменять регистр состояния.

При потери питания происходит сброс RNG. Любые выходные данные RNG для TPM должны быть защищены.

Устройство SHA-1 (англ. SHA-1 Engine)

Используется для вычисления сигнатур (подписей), создания блоков ключей и других целей общего назначения. Хэш-интерфейсы доступны вне TPM. Это позволяет окружению иметь доступ к хэш-функции.

Генератор ключей RSA (англ. RSA Key Generator)

Создаёт пары ключей RSA. TCG не накладывает минимальных требований ко времени генерации ключей.

Устройство RSA (англ. RSA Engine)

Используется для цифровых подписей и шифрования. Нет ограничений на реализацию алгоритма RSA. Производители могут использовать китайскую теорему об остатках или любой другой метод. Минимально рекомендуемая длина ключа — 2048 бит. Значение открытой экспоненты должно быть .

Доверенная платформа (англ. The trusted Platform)

В системах TCG корни доверия (roots of trust) — компоненты, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR). RTM — вычислительный механизм, который производит надёжные измерения целостности платформы. RTS — вычислительный механизм, способный хранить хэши значений целостности. RTR — механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хэши этих измерений — «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хэш измеренных значений с хэшом доверенного состояния платформы можно говорить о целостности системы.

Возможные применения

Аутентификация

TPM может рассматриваться в качестве токена (Security token) аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам. [4] Это может использоваться, например, при защите электронной почты, основанной на шифровании или подписывании при помощи цифровых сертификатов, привязанных к TPM. Также отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN доступа.

Защита данных от кражи

Это основное назначение «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера. [5]

Улучшение производительности

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности.

Усиление безопасности

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

Низкие издержки использования

Не требуются модификации операционной системы, приложений и т. д. Для шифрования не используются ресурсы центрального процессора.

Большие перспективы имеет связка TPM+Bitlocker.Такое решение позволяет прозрачно от ПО шифровать весь диск.

Управление доступом к сети (NAC)

TPM может подтверждать подлинность компьютера и даже его работоспособность ещё до получения доступа к сети и, если необходимо, помещать компьютер в карантин. [6]

Защита ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства, а чувствительные программы наподобие банковских и почтовых клиентов — от намеренной модификации. Сразу же будет пресечено добавление «троянского коня» в инсталлятор свежей версии мессенджера.

Защита от копирования

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.

Реализация

Производители

Уже более 300’000’000 компьютеров были оснащены чипом TPM. [4] В будущем TPM может устанавливаться на такие устройства, как мобильные телефоны. Микроконтроллеры TPM производятся следующими компаниями:

Trusted Platform Module критикуется и за название (доверие — англ. trust — всегда обоюдное, в то время как пользователю-то разработчики TPM и не доверяют), так и за ущемления свободы, связанные с ним. За эти ущемления устройство часто называют Treacherous computing («вероломные вычисления»).

Потеря «владения» компьютером

Владелец компьютера больше не может делать с ним всё, что угодно, передавая часть прав производителям программного обеспечения. В частности, TPM может мешать (из-за ошибок в ПО или намеренного решения разработчиков):

переносить данные на другой компьютер;
свободно выбирать программное обеспечение для своего компьютера;
обрабатывать имеющиеся данные любыми доступными программами.

Потеря анонимности

Одно из преимуществ Интернета — анонимность. На данный момент, если на компьютере нет троянских программ, в программном обеспечении нет явных ошибок, а cookie удалены, единственным идентификатором пользователя будет IP-адрес.

Достаточно вспомнить споры по поводу идентификационного номера процессора Pentium III, чтобы понять, к чему может привести удалённо читаемый и неизменяемый идентификатор компьютера.

Подавление конкурентов

Программа, ставшая лидером отрасли (как AutoCAD, Microsoft Word или Adobe Photoshop) может установить шифрование на свои файлы, делая невозможным доступ к этим файлам посредством программ других производителей, создавая, таким образом, потенциальную угрозу свободной конкуренции на рынке прикладного ПО.

При поломке TPM защищённые контейнеры оказываются недоступными, а данные в них — невосстановимыми. TPM практичен только если существует сложная система резервного копирования — естественно, для обеспечения секретности она должна иметь свои TPM’ы.

На конференции по компьютерной безопасности Black Hat 2010 было объявлено о взломе чипа Infineon SLE66 CL PE, изготовленного по спецификации TPM. [7] Данный чип используется в компьютерах, оборудовании спутниковой связи и игровых приставках. Для взлома использовался электронный микроскоп (стоимостью около $70000). Оболочка чипа была растворена кислотой, для перехвата команд были использованы мельчайшие иголки. Infineon утверждают, что они знали о возможности физического взлома чипа. Борчерт (Borchert), вице-президент компании, заверил, что дорогое оборудование и техническая сложность взлома не представляет опасности для подавляющего большинства пользователей чипов.

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 5020 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

Информационная безопасность: Trusted Platform Module и Red Pill. Часть 2.

Автор: Андрей Луценко
Дата: 15/11/2010

В предыдущей статье был описан гипердрайвер, использующий технологию аппаратной виртуализации, думаю любой, кто удосужился прочитать данную статью хотя бы до середины, понял, что эта технология позволяет осуществлять тотальный контроль над вычислительной системой в целом, операционной системой и прикладными программами.

Это, так сказать, «побочный эффект» благих намерений. Создатели концепции аппаратной виртуализации видимо сначала даже не подумали о такой возможности использования аппаратуры. Только по прошествии некоторого времени умные и очень скромные люди указали на эти нежелательные последствия внедрения данной аппаратуры.

Для того, чтобы предотвращать запуск «левых» гипервизоров нужно контролировать возможность активации аппаратуры виртуализации на вычислительной установке. Изначально такая возможность была предусмотрена в виде ключей блокировки аппаратуры и использовалась БИОС, — это пресловутые флаги активации технологии аппаратной виртуализации. Но этот метод оказался малоэффективным и легко преодолевался простейшими технологиями СMOS модификации.

Затем, уже решили скрестить технологию аппаратной виртуализации и технологию доверенного платформенного модуля – ТРМ (Trusted Platform Module), получилось тоже плохо, но галочку поставили и на этом успокоились.

ТРМ модуль и разъем для его подключения на материнской плате

Пример использования внешнего ТРМ модуля. На плате установлен специальный разъем, отдельно поставляется сам ТРМ модуль, размещаемый на собственной платке. Однако обычно ТРМ модуль распаивается непосредственно на материнской плате.

Это редкий пример добросовестного подхода производителя и экспортера к законодательству страны, недобросовестный пример будет показан ниже.

Предполагалось, что для запуска гипервизора будет использоваться специальный доверенный режим, в котором стартовый код системы виртуализации будет запускаться только после проверки его на цифровую подпись в ТРМ модуле в специальном аппаратном цикле (для исключения возможности программной эмуляции). Кроме этого состояние аппаратуры процессора в момент запуска гипервизора будет однозначно исключать возможность работы в эмулируемой среде и в режиме трассировки/шаговой отладки.

Фирма AMD для этого ввела специальную команду SkInit в систему виртуализации, и стала называть свою технологию виртуализации SVM – секретная виртуальная машина.

Фирма INTEL посчитала, что одной команды мало и ввела новый режим работы процессора,- Safer Mode Extensions (SMX). Для этого расширения была введена одна многофункциональная команда GetSec, в зависимости от параметра выполняющая вход/выход в специальный режим логического доверенного процессора.

Но технология что называется «не поперла», причин несколько, главная в том, что мало кто доверяет ТРМ, а после нашумевшей истории с Иранским вирусом, в котором было аж два скомпрометированных сертификата уважаемых фирм — Realtek Semiconductors и JMicron Technology, технология цифровой подписи публично вышла из доверия.
Другим немаловажным фактором является законодательные запреты на использование ТРМ модулей во многих странах (в частности, у нас, в России).

Спецификациям ТРМ и самим модулям более десяти лет, данные устройства задумывались в то время, когда об аппаратуре виртуализации даже не мечтали, поэтому сейчас эта технология хоть и применяется, но легко контролируется средствами виртуализации, чему пример демонстрационная версия гипердрайвера – «Красная пилиля», ссылка на которую имеется в данной статье (см. также предыдущую часть).

С помощью Гипердрайвера можно контролировать протоколы работы различных устройств, причем контролировать даже устройства, предназначенные для защиты вычислительных систем, имеющие специальные системы защиты от нелегального вмешательства,- не только ТРМ модули, но и различные Смарт-карты, всевозможные Токены.

Демонстрационная версия гипердрайвера «Красная пилюля» в варианте контроля устройств модифицирована, и на платформу виртуализации навешаны специфические обработчики, контролирующие адресные пространства ТРМ модуля, при попытках любых программных средств обратиться к данным аппаратным ресурсам, гипердравер регистрирует эти события в дампе, дамп можно просмотреть через Гиперагент.

Кроме регистрации аппаратного события регистрируется адрес команды в программном модуле, выполняющем данное обращение к аппаратуре. Гиперагент позволяет просмотреть эти программные модули и при необходимости сохранить их в файле для дальнейшего анализа.

Самым распространенным программным средством, использующим ТРМ модуль для хранения ключей шифрования является Bitlocker именно за работой этой программы и наблюдает гипердрайер «Красная пилюля» на приведенных ниже скриншотах.

Протокол работы Битлокера с ТРМ модулем (кликните, чтобы развернуть картинку)

Первоначально Битлокер ( на этапе загрузки ОС) пользуется функциями БИОС для считывания ключей шифрования дисков из ТРМ модуля, работа идет через адресное пространство портов ввода/вывода.
После загрузки ядра ОС операционная система начинает сама работать с модулем по протоколу 1.2., и обмен информацией осуществляется уже через адресное пространство MMIO.

Протокол активации ТРМ модуля (кликните, чтобы развернуть картинку)

Также контролируется администрирование ТРМ модуля специальной службой Windows, к примеру, зарегистрирован протокол инициализации чистого ТРМ модуля и ввода в него ключа активации. По аналогии можно элементарно считать с ТРМ модуля и другие ключи шифрования, активации, но это только те ключи, которыми ТРМ модуль обменивается с ОС. Ключи, которые не выходят из ТРМ модуля, можно прочитать, регистрируя протокол резервного копирования на внешний носитель содержимого ТРМ модуля.

Из предыдущего текста может показаться, что данная тема не актуальна для нашей страны, поскольку ТРМ модули запрещены к применению, а иные импортные средства защиты информации применяются только для конфиденциальных данных.

Основой же Российской информационной безопасности являются модули доверенной загрузки (МДЗ) типа «Аккорд», «Соболь» и др. Кроме этого, непробиваемые методы отключения локальных сетей от внешних линий доступа в Интернет по замыслам архитекторов систем информационной безопасности полностью устраняют все риски внешнего проникновения.

Но, «О УЖАС», эти непробиваемые средства Российской инженерной и административной мысли легко обходятся гипердрайверами и защита трещит по швам (собственно защиты уже давно как таковой нет — есть только многомиллионный бизнес).

Кроме этого, информационная безопасность, как институт Государственной политики, превратилась в полнейшую фикцию, — в рамках старинной русской поговорки: «Строгость законов компенсируется необязательностью их исполнения».

Использование на территории России средств криптографии и установок, содержащих в своем составе такие средства, возможен только на основании лицензии (Указ Президента Российской Федерации от 3 апреля 1995 г.), либо нотификации.

Согласно Положению о порядке ввоза на таможенную территорию криптографические средства, не имеющие Российского сертификата должны ввозиться в отключенном производителем состоянии. Если же они включены, то на них должна быть выдана лицензия (сертификат).
Согласно Российскому законодательству, сертификация возможна только для криптографических средств использующих Российские алгоритмы (постановление Правительства № 608, Система сертификации СКЗИ РОСС. RU. 0001.03000. пункт 3.2.4.)

Но во ВСЕХ серверных материнских платах INTEL в южный мост чипсета встроен блок менеджмента системы (ВМС), и в составе этого блока имеется криптографическая аппаратура, более того программы для сервисного процессора зашифрованы импортным алгоритмом. Чтобы не быть голословным, вот выдержка из официального документа INEL:

Серверов ввезено миллионы, кто-нибудь, когда-нибудь слышал об отключении блока ВМС на серверах? – Вопрос конечно риторический, сервер INTEL без этого блока не работает в принципе.

Еще пример, ТРМ модули могут ввозиться в Россию только в неработоспособном состоянии, и сейчас большая часть ввозимых систем имеет впаянные но «неработоспособные» модули ТРМ. Неработоспособность их по большей части фиктивная, поскольку выключается не сам модуль, а его программная инициализация в БИОС. Примером может служить уважаемая фирма Panasonic, лично занимающаяся дистрибуцией ноутбуков Toughbook CF-52 через свое представительство.

В этой модели производитель устанавливает ТРМ модуль на плату и поставляет ноутбук в Россию их по процедуре нотификации, сообщая, что данное устройство отключено производителем на этапе производства:

На плате CF-52 установлен ТРМ модуль производства Infineon SLB 9635 TT1.2

В этой дорогой и продвинутой модели ноутбука ТРМ модуль можно сделать работоспособным в Операционной Системе нехитрыми манипуляциями с ACPI таблицами БИОС, что и демонстрируется ниже.

Из приведенных выше слайдов видно, что импортер в своей нотификации слукавил, а контролирующие Государственные Органы «лоханулись».

Более того, разрешение ввозить якобы отключенные ТРМ модули — это серьезная угроза для информационной безопасности страны, поскольку эти якобы «отключенные» ТРМ модули используются системами удаленного управления вычислительными установками от ноутбука до сервера включительно. В системах дистанционного управления они отвечают за разрешение удаленному узлу получить контроль над вычислительной установкой.

Но хватит о грустном, есть область, в которой технология аппаратной виртуализации может серьезно помочь. Фактически можно если не поставить крест на вирусах, то серьезно усложнить им жизнь (именно на вирусах а не троянах и прочей дряни эксплуатирующей дурость и некомпетентность пользователя).

Описание гипердрайвера для решения этой благородной антивирусной задачи будет дано в следующей статье.

Tpm device bios что это

Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе «Устройства безопасности». Что это за зверь такой и для чего он, собственно, нужен мы и поговорим сегодня.

Расшифрование (decryption) иногда некорректно называют дешифрование (deciphering). Разница между ними в том, что при расшифровании вам известен алгоритм и секретный ключ, которым зашифрованы данные, а при дешифровании – нет.

Во-первых, чип нужно активировать в BIOS компьютера (если он не активирован).
Во-вторых, нужно стать его владельцем на уровне операционной системы.

Рассмотрим эти шаги более подробно.

1 Включение модуля TPM в BIOS компьютера

Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется «Security». В этом разделе должна быть опция, которая называется «Security Chip».

Настройки безопасности в BIOS

Модуль может находиться в трёх состояниях:

Выключен (Disabled).
Включён и не задействован (Inactive).
Включён и задействован (Active).

В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».

Тут же в настройках можно очистить старые ключи, сгенерированные чипом.

Очистка памяти чипа TPM

Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).

Теперь сохраните изменения («Save and Exit» или клавиша F10) и перезагрузите компьютер.

После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».

Чип TPM в диспетчере устройств Windows

2 Инициализация модуля TPM в Windows

В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.

Оснастка для управления чипом TPM

Инициализация модуля TPM через оснастку

Пароль TPM сгенерирован, инициализация

По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.

Пароль владельца для TPM создан

Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).

Инициализация TPM завершена

Trusted Platform Module

Другие идентичные названия опции: Security Chip, Execute TPM Command.

Принцип работы

Основные свойства данных, которые призвана обеспечить технология TPM:

Стоит ли включать?

Как обновить и очистить прошивку процессора безопасности TPM

Что такое TPM в Windows 10?

Как проверить есть ли TPM на компьютере?

Примечание: При включении TPM могут быть проблемы с bitlocker, отключите bitlocker при включении модуля TPM.

Как обновить прошивку процессора безопасности TPM

Загрузка и установка обновлений для Windows

Установка обновлений прошивки OEM-производителями

Как очистить TPM

Откройте Защитник Windows 10, перейдите Безопасность устройств. Далее найдите Устранение неполадок процессора безопасности и нажмите Очистить TPM. Перед завершением процесса необходимо перезагрузить устройство.

Очистить TPM с помощью PowerShell

Откройте PowerShell от имени администратора и введите Clear-Tpm.

Что такое Trusted Computing: объясняем по-простому

Trusted Computing — это технология безопасности. Специальный чип заботится о том, чтобы и программное обеспечение, и компоненты компьютера были защищены от нелегальных манипуляций со стороны третьих лиц. Со временем использование технологии Trusted Computing все чаще и чаще стало встречаться в мобильных телефонах и планшетах. Так выглядит TPM-чип Итак, если компьютер поддерживает технологию Trusted Computing, значит [. ]

Итак, если компьютер поддерживает технологию Trusted Computing, значит он оснащен дополнительным чипом, который называется «Trusted Platform Module» (TPM). Чип собирает информацию о подключенном оборудовании, а также о программном обеспечении, используемом на ПК, и сохраняет эти данные в зашифрованном виде.

При этом операционная система при запуске может считывать информацию с чипа, чтобы проверить, производились ли на компьютере какие-либо изменения. Некоторые программы также могут считывать эти данные.

Если вредоносные программы внесут какие-то изменения в работу компонентов системы или другого программного обеспечения, это будет распознано технологией Trusted Computing. В подобном случае пользователь получит по меньшей мере соответствующее уведомление. В случае необходимости Trusted Computing может даже закрывать взломанные приложения или отключать соединение с интернетом, чтобы защитить систему.

TPM-чип располагается на материнской плате и обладает еще несколькими преимуществами. Помимо всего прочего, к примеру, именно он обеспечивает при работе в операционной системе Windows такую возможность, как шифрование файлов с помощью BitLocker.

Как работает Trusted Computing

Без Trusted Computing компьютер снабжается антивирусной защитой с помощью программного обеспечения. Специальное приложение наблюдает за всеми происходящими на ПК процессами и пытается отражать угрозы безопасности. Trusted Computing начинает работать задолго до того, как на ПК начнется вирусная активность.

Работа чипа происходит следующим образом. Первоначальное состояние оборудования и ПО сохраняется в TPM-чипе и при включении ПК шаг за шагом сравнивается с состоянием актуальным.

В первую очередь проверяется, были ли произведены какие-либо изменения в оборудовании. Например, может жесткий диск может отсутствовать или быть инфицированным вредоносным ПО. Если «низкоуровневые» проверки пройдут успешно, то «высокоуровневые» тесты будут считать, что все в порядке и приступят к своей работе.

После проверки оборудования сканируется BIOS, а после него — так называемый Загрузчик, элементы операционной системы и приложения.

Настройка BIOS :: Опция Trusted Platform Module

В этом разделе для ИТ-специалистов описывается доверенный платформенный модуль (TPM) и его использование операционной системой Windows для управления доступом и проверки подлинности.

Что такое Trusted Platform Module?

Как правило, данный модуль представляет собой самостоятельный чип, находящийся на материнской плате. Он является своеобразным генератором и одновременно хранилищем ключей шифрования, использующихся в работе систем защиты данных. Например, при работе сканера отпечатка пальцев, при активации функции распознавания лиц или при шифровании данных на жестком диске.

Обратите внимание, что недалеко от опции, отвечающей за активацию TPM устройства, всегда присутствует опция очистки хранилища уже сгенерированных ключей – Clear TPM.

Пользоваться ей стоит с особой осторожностью. Ведь если удалить ключи, участвующие в активных опциях защиты и шифрования данных, то можно потерять доступ к этим данным и функциям.

Обычно для TPM Device доступно два значения:

Enabled или Available, что значит включена или доступна;
Disabled или Hidden, означающие отключение или скрытие.

Почти всегда по умолчанию параметр TPM Device активирован (enabled/available). Для исключения возникновения проблем с доступом к различным защищенным данным отключать его лучше не стоит.

Что такое TPM и почему он мешает расшифровать диск

Trusted Platform Module (TPM) — технология безопасности, представленная в виде дополнительного чипа, распаянного или установленного на материнской плате компьютера. Несмотря на то что официально устройства с TPM в Россию не поставляются, так как содержат несертифицированные средства шифрования, технология присутствует в большинстве ноутбуков. Чип TPM либо распаян на материнской плате (но не активирован в BIOS), либо, что случается гораздо чаще, присутствует в «виртуальном» виде благодаря использованию платформы Intel PTT (Intel Platform Trust Technology).

Для пользователя и операционной системы практической разницы между этими подходами нет, однако с точки зрения уязвимостей и их эксплуатации разница существует.

Если рассматривать модуль TPM в качестве аппаратного «довеска», то он состоит из криптографического процессора и встроенной памяти небольшого объема. При этом криптографический сопроцессор не используется для шифрования данных — как, например, это сделала Apple с чипом T2.

В рамках модели безопасности TPM основная функция чипа заключается в безопасном хранении и генерации криптографических ключей, а также аппаратном контроле за легитимностью их использования исключительно доверенными агентами. В типичной конфигурации в роли доверенного агента выступает операционная система Windows, причем не любая, а именно та, в которой был сгенерирован конкретный криптографический ключ.

Разумеется, как самой операционной системе, так и ее компонентам и приложениям доступны интерфейсы для работы с TPM и ключами шифрования — что тем не менее не означает полной бесконтрольности.

Почему одни диски, зашифрованные BitLocker, можно взломать методом перебора, в то время как другие, точно такие же, нельзя? Мешает то, что пароль в таких дисках не используется вовсе, — перебирать‑то, собственно, нечего. Ключ шифрования хранится в аппаратном модуле TPM, и именно этот модуль будет решать, выдать ключ по запросу, отказать в доступе или вовсе заблокировать чип, заставив расшифровывать контейнер другим способом. (В скобках замечу, что «другой способ» — это резервный ключ, так называемый ключ восстановления доступа, он всегда сохраняется при создании тома или на диске, или в облаке Microsoft, или в Active Directory. Зашифрованный этим ключом ключ шифрования диска также сохраняется в заголовке тома BitLocker.)

Если ты сталкивался с экраном наподобие того, который приводится ниже, ты поймешь, о чем идет речь.

В каких случаях может потребоваться очистка TPM

Если вы захотите продать свой компьютер, наверняка вы приложите все усилия для того чтобы максимально надежно удалить с него всю личную информацию. Учитывая тот факт, что при наличии соответствующих знаний и опыта ключи BitLocker могут быть извлечены из доверенного модуля, вполне разумным делом перед передачей ПК в чужие руки станет полное их удаление. В остальных случаях, если только у вас не возникли проблемы с работой модуля очищать его не рекомендуется.

1 Включение модуля TPM в BIOS компьютера

Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется “Security”. В этом разделе должна быть опция, которая называется “Security Chip”.

Настройки безопасности в BIOS

Модуль может находиться в трёх состояниях:

Выключен (Disabled).
Включён и не задействован (Inactive).
Включён и задействован (Active).

Тут же в настройках можно очистить старые ключи, сгенерированные чипом.

Очистка памяти чипа TPM

Теперь сохраните изменения (“Save and Exit” или клавиша F10) и перезагрузите компьютер.

Чип TPM в диспетчере устройств Windows

История разработки [ править | править код ]

В январе 1999 года была создана рабочая группа производственных компаний «Альянс доверяемых компьютерных платформ» (англ. Trusted Computing Platform Alliance, TCPA) с целью развития механизмов безопасности и доверия в компьютерных платформах. Первоначально в TCPA входили ведущие разработчики аппаратного и программного обеспечения — HP, Compaq (в настоящее время подразделение HP), IBM, Intel, Microsoft[1].

В октябре 1999 года была анонсирована проектная спецификация и открыта возможность другим компаниям присоединиться к альянсу. В августе 2000 года была выпущена для обсуждения предварительная публичная версия спецификации. Спецификация TCPA версии 1.0 была опубликована в феврале 2001 года, в ней были определены основные требования к TPM с точки зрения производителя электронных устройств[2].

Затем была создана рабочая группа по созданию TPM, которая пересмотрела общую спецификацию с точки зрения практического применения доверяемого модуля (TPM). В августе 2001 года была выпущена спецификация версии 1.1 и создана рабочая группа по проектированию платформы ПК, на которую устанавливается доверяемый модуль[2].

В апреле 2003 года была организована некоммерческая организация «Trusted Computer Group» (TCG), которая стала преемником TCPA и продолжила работать над развитием уже выпущенных спецификаций. В дополнение к уже созданным рабочим группам по проектированию TPM и платформы ПК были созданы группы по разработке спецификаций для мобильных устройств, ПК-клиентов, серверов, запоминающих устройств, инфраструктуры доверяемых вычислений, программного обеспечения (англ. Trusted Software Stack, TSS) и доверяемого сетевого соединения. В ноябре 2003 года была опубликована спецификация TPM версии 1.2, последняя версия с существенными изменениями, в которой по существу описана функциональность TPM[2].

Решение

Установи пароль админа на BIOS во вкладке Security.

Запомни его/запиши на листике.

Перезайди в BIOS из сохранением настроек, отключи Secure Boot.

10 x64. Запиши на флешку

Загрузись с флешки, и в установщике ОС Windows нажми Shift+F10. Введи команды:

1234567

diskpart list disksel disk n, n – номер HDD /SSd clean – вся информация будет удалена. convert gpt exit exit

Пароль на BIOS можно удалить. Ну и безопасную загрузку можно не отключать.

Флешку грузи через Boot Menu, клавиша F12. Нужно включить в BIOS.

Main > F12 Boot menu > Enabled.

Краткий обзор [ править | править код ]

Trusted Platform Module (TPM), содержащий в себе криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи, так и для шифрования/дешифрования) с той же степенью неповторяемости, что и генератор случайных чисел. Также этот модуль имеет следующие возможности: удалённую аттестацию, привязку и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. DRM). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют[3].

Как выглядит TPM

«Классический» дискретный TPM – микроплата, вставленная в разъем на материнской плате. Разъем (на сленге компьютерщиков – «колодка»), как правило, имеет маркировку «TPM». Если вы дружите с отверткой, можете заглянуть внутрь своего десктопа и поискать TPM-разъем самостоятельно. Как правило, он находится на краю материнской платы рядом с разъемами для подключения внешних («корпусных») USB-портов и аудиоразъемов. На этой странице вы можете видеть, как выглядит сам криптомодуль и гнездо для TPM на материнской плате ASUS ROG MAXIMUS X APEX. Другой вариант – когда TPM-модуль распаян прямо на материнской плате.

Функции криптомодуля могут быть реализованы программно, в прошивке. Например, у AMD это называется fTPM (firmware-based TPM). Если на компьютере есть и fTPM, и разъем для дискретного криптомодуля, выбор между ними пользователю предстоит сделать в BIOS.

Архитектура защиты

С точки зрения пользователя, защита, которую обеспечивает модуль TPM, не только совершенно прозрачна, но и абсолютно незаметна. Я много раз слышал о случаях, когда владелец устройства утверждал, что никакого шифрования нет, — при этом системный раздел был зашифрован BitLocker. И если порой в утверждениях пользователей можно было усомниться, то в остальных случаях их слова подозрений не вызывали. Как правило, речь идет о функции шифрования устройств BitLocker Device Encryption, описанной в статье «Общие сведения о функции шифрования устройств BitLocker в Windows 10». Если не вдаваться в детали, Windows (независимо от редакции — функция поддерживается даже в Windows 10 Home) автоматически зашифрует системный раздел в фоновом режиме при выполнении нескольких условий:

В устройстве присутствует и активирован чип TPM или технология Intel PTT.
Устройство поддерживает Modern Standby.
Пользователь с правами администратора вошел в систему через учетную запись Microsoft Account или использовал для входа учетную запись домена.
Система автоматически создаст ключ восстановления BitLocker и загрузит его в Microsoft Account пользователя или Active Directory.

В ранних сборках Windows дополнительно присутствовало требование, чтобы оперативная память была распаянной, а в качестве системного использовался твердотельный накопитель, однако в свежих версиях платформенной документации упоминаний этого я не нашел.

Итак, ты вошел в систему с правами администратора, использовав учетную запись Microsoft Account. Системный диск был зашифрован, но ты этого даже не заметил. Через какое‑то время ты перезагрузил систему. Изменилось ли что‑нибудь в процессе загрузки? С точки зрения пользователя — ровным счетом ничего: компьютер загрузился, Windows вывела запрос пароля. К этому моменту зашифрованный BitLocker диск уже разблокирован, но ты даже не прикасался к компьютеру. С какой стороны это называется защитой?

А вот с какой. При проектировании архитектуры защиты разработчики Windows использовали модель угроз, призванную предотвратить следующие события:

Вход в операционную систему в обход стандартных механизмов аутентификации.
Извлечение диска и его перенос на другой компьютер с целью последующей расшифровки.
Снятие образа диска и его расшифровка.
Загрузка компьютера с внешнего накопителя с целью расшифровки системного раздела.
Изменение конфигурации загрузки с целью расшифровки системного раздела.

Таким образом, если тебе известен пароль входа в систему — ты не испытаешь никаких неудобств от того, что диск зашифрован. А вот если пароля у тебя нет, то тебе не удастся даже запустить перебор: база данных SAM хранится на зашифрованном диске, и доступа к ней у тебя не будет до тех пор, пока ты не справишься с шифрованием. Для параноиков доступны варианты усиленной защиты: например, на системный раздел можно дополнительно установить PIN-код, сохранить ключ на USB-накопителе или использовать сразу оба способа. В разделе, посвященном противодействию атакам, как раз и упоминается этот способ.

Архитектура TPM [ править | править код ]

Компоненты Trusted Platform Module

В архитектуре чипа реализованы следующие защитные механизмы:

защищённое управление памятью;
шифрование шины и данных;
тестирование режимов блокирования;
активное экранирование.

В чипе реализованы алгоритмы асимметричной криптографии, обеспечивающие высокий уровень защиты. Некоторые элементы логического дизайна чипа являются нестандартными с точки зрения типовых методов проектирования интегральных схем (ИС). Применяются и специальные приёмы проектирования ИС: «запутывание» топологии слоёв ИС, усложняющее анализ функций элементов микросхемы. Ряд технологических особенностей чипов безопасности специально не разглашается компаниями-производителями, чтобы уменьшить вероятность взлома даже в том случае, когда для этого применяются современные методы анализа функционирования микросхем и дорогостоящее оборудование[4].

Ввод/Вывод (англ. I/O) [ править | править код ]

Этот компонент управляет потоком информации по шине и управляет сообщениями между соответствующим компонентами TPM. I/O компонент вводит в действие политику доступа, связанную с функциями TPM. Правила доступа определяются флагами доступа, хранящимися в блоке Opt-In энергонезависимой памяти.[5]

Криптографический процессор [ править | править код ]

Осуществляет криптографические операции внутри TPM. Эти операции включают в себя:

Генерация асимметричных ключей (RSA);
Асимметричное шифрование/расшифрование (RSA);
Хеширование (SHA-1);
Генерация случайных чисел.

Энергонезависимая память (англ. Non-Volatile Storage) [ править | править код ]

Используется для хранения ключа подтверждения, корневого ключа (англ. Storage Root Key, SRK), авторизационных данных, различных флагов доступа и блока Opt-In. Объём этого типа памяти ограничен (1280 байт).[6]

Ключ подтверждения (англ. Endorsement Key, EK) [ править | править код ]

EK — ключ RSA размером 2048 бит, идентифицирующий чип, а также всё устройство, фундаментальный компонент TPM. Открытая часть называется PUBEK, закрытая — PRIVEK. В соответствии с политикой безопасности PRIVEK не должен быть доступен вне чипа, он никогда не используется для генерирования подписей. PUBEK хранится в сертификате, используется только для установления владельца TPM и в процессе генерации AIK. EK генерируется до того, как конечный пользователь получит платформу. Стандарт позволяет изменить этот ключ, из-за чего использование TPM может быть ограниченным.[5]

Ключи подтверждения подлинности (англ. Attestation Identity Keys, AIK) [ править | править код ]

AIK — ключ RSA длиной 2048 бит, используемый только для подписей, для шифрования не используется. TPM может сгенерировать неограниченное количество AIK, эти ключи должны быть постоянными, но рекомендуется хранить AIK в виде блобов в постоянной внешней памяти, а не внутри энергонезависимой памяти TPM. В соответствии со спецификацией предполагается, что производители обеспечат достаточно места для многих блобов AIK, которые будут одновременно загружаться в энергозависимую память TPM. Переход AIK от одного TPM к другому запрещён.[6]

Регистры конфигурации платформы (Platform Configuration Registers, PCR) [ править | править код ]

PCR — это уникальные признаки TPM, в которых в зашифрованном виде содержится вся информация о целостности метрик системы, начиная с загрузки BIOS до завершения работы системы. Информация, содержащаяся в PCR, формирует корень доверия для измерений (RTM). Могут храниться как в энергонезависимой, так и в энергозависимой памяти. Эти регистры сбрасываются при старте и при перезагрузке системы. Спецификация предписывает минимальное количество регистров (16), каждый регистр содержит 160 бит информации. Регистры 0-7 зарезервированы для нужд TPM. Регистры 8-15 доступны для использования операционной системой и приложениями.[5] Изменения значений PCR необратимы и их значения нельзя записать напрямую, их можно только расширить новыми значениями, которые зависят от предыдущих. Все изменения значений PCR записываются в лог изменений, который хранится в энергозависимой памяти.[6]

Генератор случайных чисел (англ. Random Number Generator, RNG) [ править | править код ]

Используется для генерации ключей и случайностей в сигнатурах (подписях).[6]TPM должен быть способным обеспечить 32 случайных бита на каждый вызов.RNG чипа состоит из следующих компонентов:

Источник энтропии и коллектор

Регистр состояния

Смешивающая функция

При потере питания происходит сброс RNG. Любые выходные данные RNG для TPM должны быть защищены.

Блок SHA-1 (англ. SHA-1 Engine) [ править | править код ]

Используется для вычисления сигнатур (подписей), создания блоков ключей и других целей общего назначения. Хеш-интерфейсы доступны вне TPM. Это позволяет окружению иметь доступ к хеш-функции.

Генератор ключей RSA (англ. RSA Key Generator) [ править | править код ]

Создаёт пары ключей RSA. TCG не определяет требований ко времени генерации ключей.[6]

Устройство RSA (англ. RSA Engine) [ править | править код ]

Используется для цифровых подписей и шифрования. Нет ограничений на реализацию алгоритма RSA. Минимально рекомендуемая длина ключа — 2048 бит.[5] Производители могут использовать китайскую теорему об остатках или любой другой метод. Значение открытой экспоненты должно быть 2 16 + 1 +1> .

Компонент Opt-In [ править | править код ]

Этот компонент отвечает за состояние TPM и статус владения пользователем TPM. За это отвечают три группы переменных: TPM включён/отключён (в отключённом состоянии все операции блокируются), TPM активирован/деактивирован (в деактивированном состоянии возможно выполнение операций, напр. смена владельца), пользователь прошёл/не прошёл аутентификацию как владелец модуля. Данная информация хранится в виде флагов.[5]

Как проверить есть ли TPM на компьютере?

Нажмите сочетание кнопок Win+R и введите tpm.msc. Модуль TPM может находиться в одном из следующих состояний: Готов к использованию, Готов к использованию в режиме ограниченной функциональности и Не готов к использованию. Чтобы воспользоваться большинством функций TPM в Windows 10, модуль TPM должен быть Готов к использованию.

Важно: Если у вас будет модуль, то вы сможете обновить и очистить TPM именно в этих параметрах справа. По этому вы можете не прибегать ниже к пунктам. Но, если что пойдет не так, ниже пункты именно для вас.

Примечание: При включении TPM могут быть проблемы с bitlocker, отключите bitlocker при включении модуля TPM.

управление доверенным платформенным модулем

Доверенная платформа (англ. The trusted Platform) [ править | править код ]

Идея доверенной платформы или платформы, которой можно доверять (её ожидаемое поведение всегда совпадает с реальным), основана на понятии «корень доверия» (англ. Root of Trust ) — набор компонентов, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR)[3]. RTM — вычислительный механизм, который производит надёжные измерения целостности платформы. RTS — вычислительный механизм, способный хранить хеши значений целостности. RTR — механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хеши этих измерений — «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хеш измеренных значений с хешем доверенного состояния платформы, можно судить о целостности системы.[7]

Новые и измененные функции

Дополнительные сведения о новых и измененных функциях доверенного платформенного модуля в Windows 10 см. в разделе Что нового в доверенном платформенном модуле?

2 Инициализация модуля TPM в Windows

Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM. Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».

Здесь, кстати, можно почитать дополнительную информацию – что такое TPM, когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.

Оснастка для управления чипом TPM

Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант «Автоматически создать пароль».

Инициализация модуля TPM через оснастку

Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.

Пароль TPM сгенерирован, инициализация

Пароль владельца для TPM создан

Инициализация TPM завершена

Собственно, на этом заканчиваются возможности управления модулем TPM. Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.

Атаки методами холодной загрузки и через порты FireWire/Thunderbolt

Если загрузка ОС произошла успешно, но невозможно войти в систему, так как неизвестен пароль пользователя, можно попробовать прочитать содержимое памяти компьютера. Существует два известных способа: прямой доступ к памяти через шину PCI и метод «холодной загрузки» (cold boot).

Интерфейсы FireWire, Thunderbolt и PC Card имеют прямой доступ к шине PCI, которая, в свою очередь, имеет прямой доступ к памяти компьютера (Direct Memory Access или DMA). Компьютеры с ОС Windows довольно редко оснащены такими интерфейсами, но нам может повезти, если, например, пользователь установил Windows на Мак с помощью драйверов Bootcamp. Для дампа памяти компьютера через шину PCI можно воспользоваться бесплатной утилитой inception , установив ее на любой компьютер с Linux.

К сожалению, такой способ работает только для Windows 7 и 8. В более старших версиях Windows доступ DMA через Thunderbolt уже закрыт. Дамп памяти, сделанный в inception, можно загрузить в Elcomsoft Forensic Disk Decryptor и, как уже было описано выше, найти мастер-ключ, с помощью которого можно либо полностью расшифровать образ диска, либо подключить его к системе для анализа.

Еще один вид атаки основан на том, что содержимое оперативной памяти компьютера обнуляется не мгновенно, а лишь спустя несколько секунд после выключения питания. Многие модули памяти способны сохранять свое состояние в течение нескольких минут и иногда даже часов, если их охладить до отрицательной температуры. На этом их свойстве и основана атака методом «холодной загрузки» (cold boot). Для атаки нам потребуется любой баллончик с хладагентом , например, предназначенный для тестирования термонестабильных электронных компонентов.

Включаем исследуемый компьютер, замораживаем память при помощи баллончика, сразу отключаем питание (ни в коем случае нельзя делать штатный shutdown средствами операционной системы), перезагружаемся с USB накопителя с Linux, на котором установлено расширение ядра LiME .

Далее создаём дамп оперативной памяти. Признаюсь честно, в нашей лаборатории мы ни разу не делали этот тип атаки. Но некоторые наши партнеры рассказывали, что у них получалось воспроизвести такую атаку и получить дамп памяти. Если других способов не осталось, вполне можно попробовать!

Атака на TPM модуль через Sleep Mode

В любых системах обеспечения безопасности встречаются уязвимости. Не избежали этой участи и модули TPM. В 2018 году корейские исследователи Seunghun Han, Wook Shin, Jun-Hyeok Park и HyoungChun Kim из National Security Research Institute представили на конференции Usenix научную работу под названием « Страшный сон ».

Когда компьютер уходит в «спящий режим», TPM сохраняет свое состояние в NVRAM, а при выходе из этого режима восстанавливает его. И вот в этот момент некоторые модели модулей TPM позволяют подменить содержимое PCR регистров. Модуль TPM также ведет свой внутренний журнал, что позволяет узнать всю «цепочку доверия» в тот момент, когда в штатном режиме загружалась Windows, и модуль отдавал мастер-ключ шифрования диска. Исследователи тут же поставили в известность крупнейших производителей материнских плат: Intel, Lenovo, Gigabyte, Dell, hp. Уязвимость была закрыта в обновлениях BIOS. Однако очень немногие пользователи устанавливают обновления BIOS, так что в мире ещё много компьютеров, уязвимых к этой атаке.

Seunghun Han написал две утилиты:

Napper for TPM: https://github.com/kkamagui/napper-for-tpm

Имеет смысл запустить сначала его; это утилита для проверки TPM модуля на предмет наличия уязвимости «страшных снов». На странице есть ссылка на скачивание образа Live CD; достаточно записать его на USB накопитель (я для этих целей обычно пользуюсь отличной отечественной программой Rufus) и загрузить с нее исследуемый компьютер. К сожалению, все компьютеры в нашей тестовой лаборатории оказались неуязвимыми к этой атаке.

Вторая утилита это сам эксплоит: https://github.com/kkamagui/bitleaker

К сожалению, ее нет в виде Live CD, поэтому придется повозиться сначала с установкой Ubuntu на USB накопитель или внешний диск, а потом собрать и установить Bitleaker согласно инструкции. Для загрузки этой системы нужно либо отключить Secure Boot, либо подписать модифицированные загрузчик и ядро своей подписью и внести публичный ключ в BIOS компьютера. Подробную инструкцию можно найти, например, здесь .

Учтите, что добавление нового доверенного сертификата тоже изменяет содержимое регистров PCR, поэтому я бы советовал просто отключить Secure Boot при загрузке.

Сообщества разработчиков

Растущая актуальность компьютерной безопасности и особенно аппаратной безопасности сделала потенциальное использование TPM популярным среди разработчиков и пользователей. Существует несколько сообществ разработчиков, использующих TPM.

TPM.dev

В этом сообществе есть платформа, похожая на форум, для обмена информацией и вопросов. На платформе можно найти статьи и видеоуроки от членов сообщества и гостей. Есть регулярный еженедельный онлайн-звонок. Основное внимание этого сообщества уделяется снижению барьера для внедрения TPM и существующих программных библиотек TPM. Особое внимание уделяется удаленной аттестации и доверенным приложениям.

tpm2-программное обеспечение

Это сообщество сосредоточено на использовании TPM с библиотекой tpm2-tss. Сообщество участвует в разработке этого и другого программного обеспечения, связанного с TPM 2.0, которое можно найти в их учетной записи GitHub. Также есть учебные пособия и внешний раздел со ссылками на доклады и презентации на конференциях.

IBM TSS

При номинальном обращении к IBM TSS большинство дискуссий связано с разработкой более общих приложений.

Программное обеспечение IBM TPM

Номинально касаясь реализации IBM программного обеспечения TPM 2.0, большинство дискуссий относится к разработке более общих приложений.

Keylime Project

Проект с открытым исходным кодом, который использует TPM 2.0 для загрузки и аттестации компьютеров и устройств во время выполнения.

Что такое tpm device в биосе

Tpm device что это в биосе

Как проверить, есть ли у вас чип TPM

1] Open Trusted Management Module Management

2] Регистрация в BIOS или UEFI

3] Проверьте с помощью диспетчера устройств

4] Используйте WMIC в командной строке

Trusted Platform Module

Принцип работы

Стоит ли включать?

Как обновить и очистить прошивку процессора безопасности TPM

Что такое TPM в Windows 10?

Как проверить есть ли TPM на компьютере?

Как обновить прошивку процессора безопасности TPM

Загрузка и установка обновлений для Windows

Установка обновлений прошивки OEM-производителями

Как очистить TPM

Trusted Platform Module

Принцип работы

Стоит ли включать?

Не запускается компьютер

Tpm device что это в БИОСе?

Как обновить и очистить прошивку процессора безопасности TPM

Что такое TPM в Windows 10?

Как проверить есть ли TPM на компьютере?

Как обновить прошивку процессора безопасности TPM

Загрузка и установка обновлений для Windows

Установка обновлений прошивки OEM-производителями

Как очистить TPM

Простой компьютерный блог для души)

Intel Platform Trust Technology что это в биосе?

Навигация по записям

Intel Platform Trust Technology что это в биосе? : 10 комментариев

Trusted Platform Module

Содержание

Краткий обзор

Архитектура TPM

Ввод/Вывод (англ. I/O)

Криптографический процессор

Энергонезависимая память (англ. Non-Volatile Storage)

Ключ подтверждения (англ. Endorsement Key, EK)

Регистры конфигурации платформы (Platform Configuration Registers, PCR)

Ключи подтверждения подлинности (англ. Attestation Identity Keys, AIK)

Генератор случайных чисел (англ. Random Number Generator, RNG)

Устройство SHA-1 (англ. SHA-1 Engine)

Генератор ключей RSA (англ. RSA Key Generator)

Устройство RSA (англ. RSA Engine)

Доверенная платформа (англ. The trusted Platform)

Возможные применения

Аутентификация

Защита данных от кражи

Управление доступом к сети (NAC)

Защита ПО от изменения

Защита от копирования

Реализация

Производители

Потеря «владения» компьютером

Потеря анонимности

Подавление конкурентов

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 5020 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

Информационная безопасность: Trusted Platform Module и Red Pill. Часть 2.

Tpm device bios что это

1 Включение модуля TPM в BIOS компьютера

2 Инициализация модуля TPM в Windows

Trusted Platform Module

Принцип работы

Стоит ли включать?

Как обновить и очистить прошивку процессора безопасности TPM

Что такое TPM в Windows 10?

Как проверить есть ли TPM на компьютере?

Как обновить прошивку процессора безопасности TPM

Загрузка и установка обновлений для Windows

Установка обновлений прошивки OEM-производителями

Как очистить TPM

Что такое Trusted Computing: объясняем по-простому

Как работает Trusted Computing

Настройка BIOS :: Опция Trusted Platform Module

Что такое Trusted Platform Module?

Что такое TPM и почему он мешает расшифровать диск