Устранение неполадок в tpm
Содержание:
- Discrete, Integrated, or Firmware TPM?
- Атака на TPM модуль через Sleep Mode
- Реализация
- Проектирование и реализация доверенного платформенного модуля
- Отключение современной проверки подлинности — Microsoft Office
- ЭТАП А: ПОДГОТОВИТЕЛЬНАЯ СТАДИЯ
- Очистка всех ключей от TPM
- Краткий обзор
- Атаки методами холодной загрузки и через порты FireWire/Thunderbolt
- Tcg tpm support что это
- Practical applications
- История разработки [ править | править код ]
- Как настроить программный модуль TPM 2.0
- Сообщества разработчиков
- Использует
- Станьте владельцем папки Ngc и удалите её
- Versions
- Виртуальная смарт-карта
- 2 Инициализация модуля TPM в Windows
Discrete, Integrated, or Firmware TPM?
There are three implementation options for TPMs:
-
Discrete TPM chip as a separate component in its own semiconductor package
-
Integrated TPM solution, using dedicated hardware integrated into one or more semiconductor packages alongside, but logically separate from, other components
-
Firmware TPM solution, running the TPM in firmware in a Trusted Execution mode of a general purpose computation unit
Windows uses any compatible TPM in the same way. Microsoft does not take a position on which way a TPM should be implemented and there is a wide ecosystem of available TPM solutions, which should suit all needs.
Атака на TPM модуль через Sleep Mode
В любых системах обеспечения безопасности встречаются уязвимости. Не избежали этой участи и модули TPM. В 2018 году корейские исследователи Seunghun Han, Wook Shin, Jun-Hyeok Park и HyoungChun Kim из National Security Research Institute представили на конференции Usenix научную работу под названием «Страшный сон».
Когда компьютер уходит в «спящий режим», TPM сохраняет свое состояние в NVRAM, а при выходе из этого режима восстанавливает его. И вот в этот момент некоторые модели модулей TPM позволяют подменить содержимое PCR регистров. Модуль TPM также ведет свой внутренний журнал, что позволяет узнать всю «цепочку доверия» в тот момент, когда в штатном режиме загружалась Windows, и модуль отдавал мастер-ключ шифрования диска. Исследователи тут же поставили в известность крупнейших производителей материнских плат: Intel, Lenovo, Gigabyte, Dell, hp. Уязвимость была закрыта в обновлениях BIOS. Однако очень немногие пользователи устанавливают обновления BIOS, так что в мире ещё много компьютеров, уязвимых к этой атаке.
Seunghun Han написал две утилиты:
Napper for TPM: https://github.com/kkamagui/napper-for-tpm
Имеет смысл запустить сначала его; это утилита для проверки TPM модуля на предмет наличия уязвимости «страшных снов». На странице есть ссылка на скачивание образа Live CD; достаточно записать его на USB накопитель (я для этих целей обычно пользуюсь отличной отечественной программой Rufus) и загрузить с нее исследуемый компьютер. К сожалению, все компьютеры в нашей тестовой лаборатории оказались неуязвимыми к этой атаке.
Вторая утилита это сам эксплоит: https://github.com/kkamagui/bitleaker
К сожалению, ее нет в виде Live CD, поэтому придется повозиться сначала с установкой Ubuntu на USB накопитель или внешний диск, а потом собрать и установить Bitleaker согласно инструкции. Для загрузки этой системы нужно либо отключить Secure Boot, либо подписать модифицированные загрузчик и ядро своей подписью и внести публичный ключ в BIOS компьютера. Подробную инструкцию можно найти, например, здесь.
Учтите, что добавление нового доверенного сертификата тоже изменяет содержимое регистров PCR, поэтому я бы советовал просто отключить Secure Boot при загрузке.
Реализация
TPM Infineon на материнской плате Asus P5Q PREMIUM
TPM на материнской плате Inetl
Производители
Хотя спецификация предполагает как аппаратную, так и программную реализации системы TPM, обеспечение должного уровня безопасности, установленного в общей спецификации, на сегодняшний день возможно только при аппаратной реализации. Аппаратная реализация в виде чипа TPM была впервые выпущена в 2005 году. На сегодняшний день чипом TPM оснащено более 500 000 000 компьютеров. В будущем TPM сможет устанавливаться на такие устройства, как мобильные телефоны, устройства ввода и хранения информации. Микроконтроллеры TPM на сегодняшний день производятся и применяются многими компаниями.
Проектирование и реализация доверенного платформенного модуля
Традиционно TPMs являются дискретными чипами, припайными в материнскую доску компьютера. Некоторые реализации позволяют поставщикам оборудования оценивать и сертифицировать TPM отдельно от остальной системы. Дискретные реализации TPM являются распространенными. Однако они могут быть проблематичными для интегрированных устройств с небольшим или низким энергопотреблением. В некоторых более новых реализациях TPM функциональные возможности TPM интегрируются в тот же набор микросхем, который используют другие платформенные компоненты, обеспечивая при этом логическое разделение, аналогичное изолированным микросхемам TPM.
Модули TPM являются пассивными: они получают команды и возвращают ответы. Чтобы предоставить доступ ко всем преимуществам TPM, поставщик оборудования должен аккуратно интегрировать модуль TPM в системное оборудование и встроенное ПО. Это позволит модулю отправлять команды и получать ответы. Модули TPM изначально были разработаны для обеспечения безопасности и конфиденциальности владельца и пользователей платформы, однако более новые версии обеспечивают безопасность и конфиденциальность непосредственно самого системного оборудования. Однако перед использованием в расширенных сценариях модуль TPM необходимо подготовить к работе. Windows автоматически предусматривает TPM, но если пользователь планирует переустановить операционную систему, ему может потребоваться очистить TPM перед переустановки, чтобы Windows могли в полной мере использовать TPM.
Trusted Computing Group (TCG) — некоммерческая организация, которая публикует и поддерживает спецификации доверенного платформенного модуля. TCG существует для разработки, определения и продвижения нейтральных поставщиков глобальных отраслевых стандартов. Эти стандарты поддерживают корневую поддержку доверия на основе оборудования для взаимозаменяемых надежных вычислительных платформ. TCG также публикует спецификации TPM в виде международного стандарта ISO/IEC 11889 с использованием процесса предоставления общедоступной спецификации, которую определяет Совместный технический комитет 1, куда входят представители Международной организации стандартизации (ISO) и Международной электротехнической комиссии (IEC).
Поставщики оборудования внедряют модуль TPM в качестве компонента в доверенную вычислительную платформу например компьютер, планшет или телефон. Доверенные вычислительные платформы используют TPM, для обеспечения безопасности и конфиденциальности, достичь которых с использованием одного лишь программного обеспечения невозможно. Например, само по себе программное обеспечение не может достоверно сообщить о наличии вредоносного ПО при запуске системы. Тесная интеграция между TPM и платформой повышает прозрачность процесса загрузки и поддерживает оценку работоспособности устройства, позволяя надежно измерять и регистрировать программное обеспечение, которое запускает устройство. Реализация TPM в составе доверенной вычислительной платформы формирует аппаратное ядро доверия, что означает, что поведение оборудования является доверенным. Например, если ключ, хранящийся в TPM, имеет свойства, которые запрещают экспорт ключа, этот ключ не может покидать TPM.
Организация TCG разработала TPM в качестве недорогого массового решения безопасности, которое соответствует требованиям различных клиентских сегментов. Свойства безопасности различаются в зависимости от реализации TPM так же, как в зависимости от сектора различаются требования клиентов и регулирующих органов. Например, при государственных закупках некоторые правительства четко определяют требования к безопасности модулей TPM, а некоторые — нет.
Отключение современной проверки подлинности — Microsoft Office
Это решение предназначено для пользователей, которые не могут получить доступ к Microsoft Office из-за ошибки Trusted Platform Module. Решение включает в себя изменение некоторых записей в редакторе реестра Windows:
- Нажмите Windows Key + R для запуска окна «Выполнить». Введите regedit и нажмите ввод.
- Перейдите по адресу
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity
- Нажмите правой кнопкой мыши на пустое пространство в окне и выберите Создать > Значение DWORD (32 бита).
- Назовите новую запись EnableADAL, а затем дважды нажмите по ней.
- Установите значение 0.
- Закройте редактор реестра и перезагрузите компьютер.
ЭТАП А: ПОДГОТОВИТЕЛЬНАЯ СТАДИЯ
Шаг 1. Руководство предприятия официально объявляет о начале внедрения TPM в организации
О запуске TPM сотрудники должны узнавать не от кого-то из коллег, а из официального заявления высшего руководства. Верное понимание сущности и назначения концепции, заинтересованность и активное участие руководителей организации обеспечивает успех всей кампании. Но прежде чем объявлять персоналу о начале изменений, необходимо разработать ознакомительную программу о TPM для высшего руководства предприятия.
Шаг 2. Обучение основам TPM и его популяризация
Тренинги необходимо проводить с учетом потребности в обучении, поэтому начать целесообразно с оценки уровня осведомленности операторов, специалистов по техобслуживанию, контролеров о правилах ухода за оборудованием. Оценив результаты опроса, вы будете лучше представлять, какие пробелы нужно устранить в первую очередь. Обучение полезно проводить на практическом примере.
Шаг 3. Организация рабочих групп по TPM
TPM подразумевает вовлечение операторов в уход за оборудованием, ремонтно-техническое обслуживание, контроль качества, поэтому в состав рабочих групп необходимо включать сотрудников разных отделов: ремонтного, производственного, монтажного, а из отдела технического контроля.
Шаг 4. Разработка инструкций и постановка целей
Ваши сотрудники должны иметь четкое представление, к каким целям и в какие сроки они должны прийти. Разработайте рабочие инструкции и установите критерии, которым должно соответствовать оборудование после внедрения TPM.
Шаг 5. Генеральный план внедрения TPM
Руководство должно видеть в TPM не один из инструментов, нужный лишь на определенной стадии развития предприятия, а часть долгосрочной стратегии. Разработайте и представьте генеральный план стандартизации TPM и включения его в корпоративную культуру предприятия. Показателем успеха в данном случае является получение наград, например, TPM Award.
Очистка всех ключей от TPM
Приложение Центра Защитник Windows безопасности можно использовать для очистки TPM в качестве шага по устранению неполадок или в качестве последней подготовки перед чистой установкой новой операционной системы. Подготовка к чистой установке таким образом помогает убедиться, что новая операционная система может полностью развернуть все функциональные возможности на основе TPM, которые она включает, например проверку. Однако, даже если TPM не очищается до установки новой операционной системы, большинство функций TPM, вероятно, будет работать правильно.
Очистка TPM сбрасывает его в бесхозяйном состоянии. После очистки TPM операционная Windows автоматически повторно инициализирует ее и снова станет владельцем.
Предупреждение
Очистка TPM может привести к потере данных. Дополнительные сведения см
в следующем разделе «Меры предосторожности, которые необходимо принять перед очисткой TPM»
Меры предосторожности, которые необходимо принять перед очисткой TPM
Очистка TPM может привести к потере данных
Чтобы защититься от таких потерь, просмотрите следующие меры предосторожности:
-
Очистка TPM приводит к потерям всех созданных ключей, связанных с TPM, и данных, защищенных этими ключами, такими как виртуальная смарт-карта или знак в PIN-коде. Убедитесь, что у вас есть метод резервного копирования и восстановления для любых данных, защищенных или зашифрованных TPM.
-
Не очищайте TPM на устройстве, которое не принадлежит вам, например на компьютере или учебном компьютере, без указания ИТ-администратора.
-
Если вы хотите временно приостановить операции TPM и у вас есть TPM 1.2 с Windows 10, версией 1507 или 1511 или Windows 11, вы можете отключить TPM. Дополнительные сведения см. в в этой статье.
-
Всегда используйте функции в операционной системе (например, TPM.msc) для очистки TPM. Не очищайте TPM напрямую от UEFI.
-
Так как оборудование безопасности TPM является физической частью компьютера, перед очисткой TPM можно прочитать руководства или инструкции, которые пришли с компьютера, или найти веб-сайт производителя.
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы Администраторы или аналогичной группы.
Очистка TPM
-
Откройте приложение центра Защитник Windows безопасности.
-
Выберите безопасность устройства.
-
Выберите сведения об процессоре безопасности.
-
Выберите устранение неполадок процессора безопасности.
-
Выберите Clear TPM.
-
Вам будет предложено перезапустить компьютер. Во время перезапуска UEFI может нажать кнопку, чтобы подтвердить, что вы хотите очистить TPM.
-
После перезапуска компьютера ваш TPM будет автоматически подготовлен к использованию Windows.
Краткий обзор
Trusted Platform Module (TPM), содержащий в себе криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи, так и для шифрования/дешифрования) с той же степенью неповторяемости, что и генератор случайных чисел. Также этот модуль имеет следующие возможности: удалённую аттестацию, привязку и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. DRM). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют.
Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система.
Атаки методами холодной загрузки и через порты FireWire/Thunderbolt
Если загрузка ОС произошла успешно, но невозможно войти в систему, так как неизвестен пароль пользователя, можно попробовать прочитать содержимое памяти компьютера. Существует два известных способа: прямой доступ к памяти через шину PCI и метод «холодной загрузки» (cold boot).
Интерфейсы FireWire, Thunderbolt и PC Card имеют прямой доступ к шине PCI, которая, в свою очередь, имеет прямой доступ к памяти компьютера (Direct Memory Access или DMA). Компьютеры с ОС Windows довольно редко оснащены такими интерфейсами, но нам может повезти, если, например, пользователь установил Windows на Мак с помощью драйверов Bootcamp. Для дампа памяти компьютера через шину PCI можно воспользоваться бесплатной утилитой inception, установив ее на любой компьютер с Linux.
К сожалению, такой способ работает только для Windows 7 и 8. В более старших версиях Windows доступ DMA через Thunderbolt уже закрыт. Дамп памяти, сделанный в inception, можно загрузить в Elcomsoft Forensic Disk Decryptor и, как уже было описано выше, найти мастер-ключ, с помощью которого можно либо полностью расшифровать образ диска, либо подключить его к системе для анализа.
Еще один вид атаки основан на том, что содержимое оперативной памяти компьютера обнуляется не мгновенно, а лишь спустя несколько секунд после выключения питания. Многие модули памяти способны сохранять свое состояние в течение нескольких минут и иногда даже часов, если их охладить до отрицательной температуры. На этом их свойстве и основана атака методом «холодной загрузки» (cold boot). Для атаки нам потребуется любой баллончик с хладагентом, например, предназначенный для тестирования термонестабильных электронных компонентов.
Включаем исследуемый компьютер, замораживаем память при помощи баллончика, сразу отключаем питание (ни в коем случае нельзя делать штатный shutdown средствами операционной системы), перезагружаемся с USB накопителя с Linux, на котором установлено расширение ядра LiME.
Далее создаём дамп оперативной памяти. Признаюсь честно, в нашей лаборатории мы ни разу не делали этот тип атаки. Но некоторые наши партнеры рассказывали, что у них получалось воспроизвести такую атаку и получить дамп памяти. Если других способов не осталось, вполне можно попробовать!
Tcg tpm support что это
Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе «Устройства безопасности». Что это за зверь такой и для чего он, собственно, нужен мы и поговорим сегодня.
Доверенный платформенный модуль, или TPM (trusted platform module) – это отдельный микрочип на системной плате компьютера, который выполняет специфический круг задач, связанных с криптографией и защитой компьютера.
Например, с помощью криптопроцессора TPM можно осуществлять шифрование жёсткого диска компьютера.
Конечно, это может делать и центральный процессор, но тогда ему придётся выполнять больше задач, и скорость шифрования и расшифрования будет гораздо ниже.
Аппаратно реализованное шифрование в модуле TPM происходит практически без потери производительности.
Расшифрование (decryption) иногда некорректно называют дешифрование (deciphering). Разница между ними в том, что при расшифровании вам известен алгоритм и секретный ключ, которым зашифрованы данные, а при дешифровании – нет.
Также TPM может защищать учётные данные и проверять программы, запущенные в системе.
Предотвращает заражение руткитами и буткитами (разновидности вредоносных программ, которые проникают в компьютер до загрузки операционной системы или скрывают своё присутствие в системе, и потому не могут быть распознаны системой), следя за тем, чтобы конфигурация компьютера не была изменена без ведома пользователя.
Кроме того, каждый криптографический модуль TPM имеет уникальный идентификатор, который записан прямо в микросхему и не может быть изменён. Поэтому крипточип может использоваться для проверки подлинности при доступе к сети или какому-либо приложению.
TPM может генерировать стойкие ключи шифрования, когда это требуется операционной системе (ОС).
Но прежде чем использовать модуль TPM, его необходимо настроить. Настройка модуля сводятся к нескольким простым действиям.
- Во-первых, чип нужно активировать в BIOS компьютера (если он не активирован).
- Во-вторых, нужно стать его владельцем на уровне операционной системы.
Рассмотрим эти шаги более подробно.
2Инициализация модуля TPM в Windows
Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM.
Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод».
Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».
В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован.
Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.
Оснастка для управления чипом TPM
Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант «Автоматически создать пароль».
Инициализация модуля TPM через оснастку
Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.
Пароль TPM сгенерирован, инициализация
По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.
Practical applications
Certificates can be installed or created on computers that are using the TPM. After a computer is provisioned, the RSA private key for a certificate is bound to the TPM and cannot be exported. The TPM can also be used as a replacement for smart cards, which reduces the costs associated with creating and disbursing smart cards.
Automated provisioning in the TPM reduces the cost of TPM deployment in an enterprise. New APIs for TPM management can determine if TPM provisioning actions require physical presence of a service technician to approve TPM state change requests during the boot process.
Antimalware software can use the boot measurements of the operating system start state to prove the integrity of a computer running Windows 10 or Windows 11 or Windows Server 2016. These measurements include the launch of Hyper-V to test that datacenters using virtualization are not running untrusted hypervisors. With BitLocker Network Unlock, IT administrators can push an update without concerns that a computer is waiting for PIN entry.
The TPM has several Group Policy settings that might be useful in certain enterprise scenarios. For more info, see TPM Group Policy Settings.
История разработки [ править | править код ]
В январе 1999 года была создана рабочая группа производственных компаний «Альянс доверяемых компьютерных платформ» (англ. Trusted Computing Platform Alliance, TCPA) с целью развития механизмов безопасности и доверия в компьютерных платформах. Первоначально в TCPA входили ведущие разработчики аппаратного и программного обеспечения — HP, Compaq (в настоящее время подразделение HP), IBM, Intel, Microsoft.
В октябре 1999 года была анонсирована проектная спецификация и открыта возможность другим компаниям присоединиться к альянсу. В августе 2000 года была выпущена для обсуждения предварительная публичная версия спецификации. Спецификация TCPA версии 1.0 была опубликована в феврале 2001 года, в ней были определены основные требования к TPM с точки зрения производителя электронных устройств.
Затем была создана рабочая группа по созданию TPM, которая пересмотрела общую спецификацию с точки зрения практического применения доверяемого модуля (TPM). В августе 2001 года была выпущена спецификация версии 1.1 и создана рабочая группа по проектированию платформы ПК, на которую устанавливается доверяемый модуль.
В апреле 2003 года была организована некоммерческая организация «Trusted Computer Group» (TCG), которая стала преемником TCPA и продолжила работать над развитием уже выпущенных спецификаций. В дополнение к уже созданным рабочим группам по проектированию TPM и платформы ПК были созданы группы по разработке спецификаций для мобильных устройств, ПК-клиентов, серверов, запоминающих устройств, инфраструктуры доверяемых вычислений, программного обеспечения (англ. Trusted Software Stack, TSS) и доверяемого сетевого соединения. В ноябре 2003 года была опубликована спецификация TPM версии 1.2, последняя версия с существенными изменениями, в которой по существу описана функциональность TPM.
Как настроить программный модуль TPM 2.0
Чтобы включить программный модуль TPM, нужно зайти в BIOS. Сделать это можно, зажав определенную клавишу при включении компьютера. Обычно это Del, но может быть F2 или другая, в зависимости от производителя. Желательно перед этим установить свежую версию BIOS для вашего оборудования.
На материнских платах ASUS с логикой от AMD нужно сначала нажать клавишу F7, чтобы перейти к расширенным настройкам. Затем переключиться на вкладку Advanced и выбрать строку AMD fTPM configuration. Далее активируйте (enabled) строку AMD fTPM switch. На материнских платах под Intel путь немного отличается. На вкладке Advanced найдите строку PCH-FW Configuration, затем TPM Device Selection. Выставьте значение Enable Firmware TPM.
На материнских платах MSI с логикой от AMD нужно зайти в меню Security и далее Trusted Computing. В строке Security Device Support поставьте значение Enabled, в строке AMD fTPM switch выставьте AMD CPU fTPM. На Intel все почти так же: в строке Security Device Support поставьте значение Enabled, в строке TPM Device Selection нужно выбрать PTT.
На материнских платах ASRock с логикой от AMD зайдите в меню Advanced, далее пролистайте вниз и выберите строку AMD fTPM switch. Выставьте значение AMD CPU fTPM. На Intel все тоже очень просто: зайдите в Security и внизу экрана найдите строчку Intel Platform Trust Technology. Выберите параметр Enabled.
После этого сохраните настройки и перезагрузите компьютер. Снова выполните команду tpm.msc. Если вы все сделали правильно, предупреждения об отсутствии модуля в этот раз не будет. Далее проверьте еще раз статус в PC Health Check, если ошибка не ушла, проблема в чем-то еще. Например, отключенном параметре Secure Boot.
Кроме того, если такая возможность предусмотрена, то можно найти аппаратный модуль и установить его на материнскую плату. Но по понятным причинам этот способ не всем подойдет.
- Что нужно знать о Windows 11: новое меню «Пуск», быстрые загрузки игр и выросшие системные требования. Обновляться ли?
- Как настроить мониторинг MSI Afterburner в играх: узнаем температуру и загрузку процессора и видеокарты
- Как настроить Windows 10 для игр: максимальная производительность, игровой режим и другие советы
Сообщества разработчиков
Растущая актуальность компьютерной безопасности и особенно аппаратной безопасности сделала потенциальное использование TPM популярным среди разработчиков и пользователей. Есть несколько сообществ разработчиков, использующих TPM.
TPM.dev
В этом сообществе есть платформа, похожая на форум, где можно делиться информацией и задавать вопросы. На платформе можно найти статьи и видеоуроки от членов сообщества и гостей. Есть регулярный еженедельный онлайн-звонок
Основное внимание этого сообщества уделяется снижению барьера для внедрения TPM и существующих программных библиотек TPM. Особое внимание уделяется удаленной аттестации и доверенным приложениям.
tpm2-программное обеспечение
Это сообщество сосредоточено на использовании TPM с библиотекой tpm2-tss. Сообщество участвует в разработке этого и другого программного обеспечения, связанного с TPM 2.0, которое можно найти в их учетной записи GitHub. Также есть учебные пособия и внешний раздел со ссылками на доклады и презентации на конференциях.
Программное обеспечение IBM TPM
Номинально касаясь реализации программного обеспечения TPM 2.0 IBM, большинство обсуждений относится к разработке более общих приложений.
Keylime Project
Проект с открытым исходным кодом, в котором используется TPM 2.0 для загрузки и аттестации компьютеров и устройств во время выполнения.
Список рассылки по безопасности Linux
linux-integrity@vger.kernel.org — это большой список рассылки. Это больше подходит для проблем с драйверами устройств TPM, чем для общих вопросов HOWTO.
Использует
Министерство обороны США (DoD) указывает , что «новые компьютерные активы (например, сервер, настольный компьютер, ноутбук, тонкий клиент, планшет, смартфон, персональный цифровой помощник, мобильный телефон) , закупленные для поддержки DoD будет включать в себя версию модуля TPM версии 1.2 или выше там, где это требуется Руководством по техническому внедрению безопасности (STIG) Агентства оборонных информационных систем (DISA ) и где такая технология доступна «. DoD ожидает, что TPM будет использоваться для идентификации, аутентификации, шифрования и проверки целостности устройства.
Целостность платформы
Основная задача TPM — обеспечить целостность платформы. В этом контексте «целостность» означает «вести себя так, как задумано», а «платформа» — это любое компьютерное устройство независимо от его операционной системы . Это необходимо для обеспечения того, чтобы процесс загрузки запускался с надежной комбинации оборудования и программного обеспечения и продолжался до тех пор, пока операционная система не загрузится полностью и не будут запущены приложения .
При использовании TPM микропрограмма и операционная система несут ответственность за обеспечение целостности.
Например, унифицированный расширяемый интерфейс микропрограмм (UEFI) может использовать TPM для формирования корня доверия : TPM содержит несколько регистров конфигурации платформы (PCR), которые позволяют безопасно хранить и составлять отчеты о связанных с безопасностью метриках. Эти метрики можно использовать для обнаружения изменений в предыдущих конфигурациях и принятия решения о дальнейших действиях. Хорошие примеры можно найти в Linux Unified Key Setup (LUKS), BitLocker и PrivateCore vCage для шифрования памяти. (См. ниже.)
Другой пример целостности платформы через TPM — использование лицензирования Microsoft Office 365 и Outlook Exchange.
Примером использования TPM для обеспечения целостности платформы является технология Trusted Execution Technology (TXT), которая создает цепочку доверия. Он может удаленно подтвердить, что компьютер использует указанное оборудование и программное обеспечение.
Шифрование диска
Утилиты полного шифрования диска , такие как dm-crypt и BitLocker , могут использовать эту технологию для защиты ключей, используемых для шифрования запоминающих устройств компьютера, и обеспечения проверки целостности для надежного пути загрузки, который включает микропрограммное обеспечение и загрузочный сектор .
Другое использование и проблемы
Любое приложение может использовать микросхему TPM для:
- Управление цифровыми правами (DRM)
- Защитник Windows
- Вход в домен Windows
- Защита и обеспечение соблюдения лицензий на программное обеспечение
- Предотвращение накрутки в онлайн-играх
Существуют и другие способы использования, некоторые из которых вызывают проблемы с конфиденциальностью . Функция «физического присутствия» TPM решает некоторые из этих проблем, требуя подтверждения на уровне BIOS для таких операций, как активация, деактивация, очистка или смена владельца TPM кем-то, кто физически присутствует на консоли машины.
Станьте владельцем папки Ngc и удалите её
Ещё один простой способ устранить сбой TPM заключается в удалении папки Ngc. Её можно найти на диске C:\, но для удаления требуется быть владельцем папки. Вот как это можно сделать:
- Откройте проводник и перейдите:
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft
- Найдите папку Ngc и нажмите на неё правой кнопкой мыши, затем выберите «Свойства».
- На вкладке «Безопасность» нажмите «Дополнительно».
- В разделе «Владелец» нажмите «Изменить». Для этого вам потребуются права администратора.
- В текстовом поле введите имя пользователя локальной учётной записи (которую вы используете в этот момент) и нажмите «Проверить имена».
- Нажмите ОК. Установите флажок «Заменить владельца подконтейнеров и объектов».
- Нажмите OK.
- Дважды нажмите, чтобы открыть папку Ngc и удалить все её содержимое.
- Перезагрузите компьютер.
Удаление учётных данных приложения из диспетчера учётных данных
Этот вариант применим для пользователей, которые сталкиваются с проблемой при запуске приложений Microsoft, таких как Outlook или Microsoft Office. Метод включает в себя удаление учётных данных соответствующего приложения с помощью диспетчера учётных данных:
- Нажмите кнопку «Пуск» и введите в поиск «диспетчер учётных данных». Откройте соответствующее окно.
- Нажмите «Учётные данные Windows».
- В разделе «Общие учётные данные» выберите все учётные данные Microsoft Office и нажмите стрелку вправо, чтобы развернуть их.
- Затем нажмите «Удалить» рядом с «Редактировать».
- Удаляйте данные по одному за раз.
- Перезагрузите компьютер.
Versions
There are two very different TPM specifications: 1.2 and 2.0, which also use different software stacks.
- TPM 1.2 uses the «TrouSerS» TSS (TCG software stack) by IBM, which is packaged as AUR (tcsd) and AUR (userspace). All software access the TPM through the tcsd daemon.
- TPM 2.0 allows direct access via (one client at a time), managed access through the resource manager daemon, or kernel-managed access via . There are two choices of userspace tools, by Intel and AUR by IBM.
TPM 2.0 requires UEFI boot; BIOS or Legacy boot systems can only use TPM 1.2.
Some TPM chips can be switched between 1.2 and 2.0 through a firmware upgrade (which can be done only a limited number of times).
Виртуальная смарт-карта
Смарт-карты— это надежно защищенные физические устройства, на которых, как правило, хранится один сертификат и соответствующий закрытый ключ. Пользователи вставляют смарт-карту во встроенное или USB-устройство для чтения карт и вводит PIN-код для ее разблокировки. Windows может получить доступ к сертификату карты и использовать закрытый ключ для авторизации либо для разблокировки томов данных с защитой BitLocker. Смарт-карты популярны, поскольку они обеспечивают двухфакторную проверку подлинности, для которой нужно что-то, что имеется у пользователя (то есть смарт-карта), и что-то, что он знает (например PIN-код смарт-карты). Однако смарт-карты достаточно трудно использовать, поскольку пользователю для этого необходимо приобрести смарт-карты и устройства для чтения смарт-карт и выполнить развертывание.
В Windows благодаря функции виртуальной смарт-карты TPM может имитировать постоянно вставленную смарт-карту. TPM становится «чем-то, что имеется у пользователя», но при этом пользователю по-прежнему требуется PIN-код. И хотя физические смарт-карты имеют ограничения по количеству попыток ввода PIN-кода, при превышении которого карта блокируется и требуется перезагрузка, защита виртуальной смарт-карты основывается на системе защиты TPM от атак перебором по словарю, которая не допускает слишком большого количества попыток угадать PIN-код.
В случае использования виртуальных смарт-карт на базе доверенного платформенного модуля модуль защищает закрытый ключ сертификата во время его использования и хранения, не допуская его копирования или использования в каких-либо других целях. Использование компонента, являющегося частью системы, вместо отдельной физической смарт-карты позволит снизить общие эксплуатационные расходы, поскольку в этом случае исключены такие сценарии, как «карта утеряна» и «карта забыта дома», и при этом пользователь получает все преимущества многофакторной проверки подлинности с помощью смарт-карты. Виртуальные смарт-карты просты в использовании: для их разблокировки требуется только PIN-код. Виртуальные смарт-карты поддерживают те же сценарии, что и физические смарт-карты, в том числе вход в Windows или проверка подлинности для доступа к ресурсам.
2 Инициализация модуля TPM в Windows
В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.
Оснастка для управления чипом TPM
Инициализация модуля TPM через оснастку
Пароль TPM сгенерирован, инициализация
По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.
Пароль владельца для TPM создан
Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).
Инициализация TPM завершена