Что такое крипточип TPM 2.0, опасен ли он в материнской плате, нужно ли отключать
ТРМ 2.0 крипточип для Windows
В скором времени будет выпущена новая версия ТРМ - компонента системы шифрования, который будет содержаться в каждом ПК. Это означает большую безопасность при меньшем контроле.
Trusted Platform Modules (доверяемые платформенные модули) представляют собой небольшие чипы, служащие для защиты данных и уже несколько лет используемые в компьютерах, консолях, смартфонах, планшетах и ресиверах. В настоящее время чипами ТРМ оснащен приблизительно миллиард устройств причем 600 миллионов из них — это офисные ПК. С 2001 года сторонники «теории заговора» стали рассматривать чипы в качестве инструмента контроля позволяющего якобы ограничивать права пользователя: теоретически ТРМ-чипы можно применять чтобы ограничить нелегальное копирование фильмов и музыки. Однако за последние 12 лет не было ни одного подобного случая. Более того Windows использует подобный модуль для безопасной загрузки и шифрования данных жесткого диска посредством БитЛокер.
Несмотря на все это, будущая спецификация версии 2.0 привлечет к себе немало внимания, ведь теперь TРМ-чипы будут запущены «по умолчанию» (раньше пользователю нужно было активировать их самостоятельно). Также в новом стандарте может отсутствовать возможность их отключения. По всей видимости в скором времени будет сложно найти в продаже устройства без ТРМ 2.0, так как компания Microsoft соответствующим образом изменила критерии сертификации для Windows. Начиная с 2015 года стандарт ТРМ 2.0 будет обязательным для всех, в противном случае производитель аппаратного обеспечения не получит подтверждение о пройденной сертификации
ТРМ-чип гарантирует безопасность ОС
Самым эффективным способом защиты системы, исключающим возможность проникновения хакеров, является использование аппаратного чипа ТРМ. Он представляет собой небольшой «компьютер в компьютере»: доверяемый модуль с собственным процессором, оперативной памятью, накопителем и интерфейсом ввода/вывода (см. рисунок вверху слева). Главной задачей ТРМ является предоставление в распоряжение операционной системы гарантированно безопасных служб. Например, чипы ТРМ хранят криптоключи использующиеся для шифрования данных на жестком диске. Кроме того модуль подтверждает идентичность всей платформы и проверяет систему на возможные вмешательства хакеров в работу аппаратных средств. ТРМ в тандеме с UEFI Secure Boot обеспечивает пользователю полностью защищенный и безопасный процесс запуска операционной системы.
Этап, на котором загружается ПО стороннего разработчика (антивирусный сканер), Microsoft обозначает как Measured Boot. Для драйвера ELAM (Early Launch Anti-Malware, ранний запуск антивредоносной программы) от разработчиков антивирусного ПО Microsoft предоставляет свою подпись. Если же она отсутствует UEFI прерывает процесс загрузки. Ядро проверяет антивирусную защиту при запуске. Если ELAM-драйвер проходит проверку ядро признает действительными и остальные драйверы. Это исключает возможность того что руткиты окажут влияние на процесс загрузки Windows и «воспользуются ситуацией», когда антивирусный сканер еще не активен.
Текущая спецификация ТРМ 1.2 использует устаревшую технологию с внедренными в аппаратной части алгоритмами шифрования RSA-2048 и SHA-1 (последний считается как раз небезопасным). Вместо использования строго определенных алгоритмов в чипах ТРМ в версии 2.0 можно предусмотреть симметричные и асимметричные методы шифрования. Например, в настоящий момент доступны SHA-2, НМАС, ЕСС и AES. К тому же в ТРМ 2 0 путем обновления можно добавить поддержку новых криптоалгоритмов 11 о всей видимости эти чипы найдут широкое распространение в Китае или России - тех странах где в применяются местные алгоритмы шифрования. Подход к использованию ключей также изменится. Если раньше в качестве фундамента для всех прелагаемых служб задействовались два фиксированных
крип ключа то ТРМ 2.0 работает с очень большими случайными числами. Нужные ключи генерируются посредством математических функций использованием начальных чисел в качестве исходных данных. TPM 2.0 предоставляет также возможность генерации ключей только для однократного использования.
Спор вокруг «выключателя» ТРМ 2.0
Будет ли на практике доступен «выключатель» ТРМ, например, в BIOS или UEFI, зависит исключительно от решения производителя аппаратных средств. В разделе 13.3 текущей спецификации библиотек имеется указание о том, что «выключатели» разрешены. Окончательную ясность в данный вопрос внесет отдельная спецификация по внедрению аппаратных компонентов.
Мнение разработчиков программы для шифрования данных TrueCrypt:
Единственная вещь, которую TPM почти способен гарантировать, – создание ложного чувства безопасности (одно только имя – “Trusted Platform Module” (модуль доверенной платформы) – вводит в заблуждение и создаёт ложное чувство безопасности). Для настоящей защиты TPM в действительности излишен (а внедрение избыточных функций, как правило, ведёт к созданию так называемого bloatware – функционально избыточного и ресурсоёмкого ПО). Функции, подобные этой, иногда называют ‘театральной безопасностью’ .
В скором времени будет выпущена новая версия ТРМ - компонента системы шифрования, который будет содержаться в каждом ПК. Это означает большую безопасность при меньшем контроле.
Trusted Platform Modules (доверяемые платформенные модули) представляют собой небольшие чипы, служащие для защиты данных и уже несколько лет используемые в компьютерах, консолях, смартфонах, планшетах и ресиверах. В настоящее время чипами ТРМ оснащен приблизительно миллиард устройств причем 600 миллионов из них — это офисные ПК. С 2001 года сторонники «теории заговора» стали рассматривать чипы в качестве инструмента контроля позволяющего якобы ограничивать права пользователя: теоретически ТРМ-чипы можно применять чтобы ограничить нелегальное копирование фильмов и музыки. Однако за последние 12 лет не было ни одного подобного случая. Более того Windows использует подобный модуль для безопасной загрузки и шифрования данных жесткого диска посредством БитЛокер.
Несмотря на все это, будущая спецификация версии 2.0 привлечет к себе немало внимания, ведь теперь TРМ-чипы будут запущены «по умолчанию» (раньше пользователю нужно было активировать их самостоятельно). Также в новом стандарте может отсутствовать возможность их отключения. По всей видимости в скором времени будет сложно найти в продаже устройства без ТРМ 2.0, так как компания Microsoft соответствующим образом изменила критерии сертификации для Windows. Начиная с 2015 года стандарт ТРМ 2.0 будет обязательным для всех, в противном случае производитель аппаратного обеспечения не получит подтверждение о пройденной сертификации
ТРМ-чип гарантирует безопасность ОС
Самым эффективным способом защиты системы, исключающим возможность проникновения хакеров, является использование аппаратного чипа ТРМ. Он представляет собой небольшой «компьютер в компьютере»: доверяемый модуль с собственным процессором, оперативной памятью, накопителем и интерфейсом ввода/вывода (см. рисунок вверху слева). Главной задачей ТРМ является предоставление в распоряжение операционной системы гарантированно безопасных служб. Например, чипы ТРМ хранят криптоключи использующиеся для шифрования данных на жестком диске. Кроме того модуль подтверждает идентичность всей платформы и проверяет систему на возможные вмешательства хакеров в работу аппаратных средств. ТРМ в тандеме с UEFI Secure Boot обеспечивает пользователю полностью защищенный и безопасный процесс запуска операционной системы.
Этап, на котором загружается ПО стороннего разработчика (антивирусный сканер), Microsoft обозначает как Measured Boot. Для драйвера ELAM (Early Launch Anti-Malware, ранний запуск антивредоносной программы) от разработчиков антивирусного ПО Microsoft предоставляет свою подпись. Если же она отсутствует UEFI прерывает процесс загрузки. Ядро проверяет антивирусную защиту при запуске. Если ELAM-драйвер проходит проверку ядро признает действительными и остальные драйверы. Это исключает возможность того что руткиты окажут влияние на процесс загрузки Windows и «воспользуются ситуацией», когда антивирусный сканер еще не активен.
Текущая спецификация ТРМ 1.2 использует устаревшую технологию с внедренными в аппаратной части алгоритмами шифрования RSA-2048 и SHA-1 (последний считается как раз небезопасным). Вместо использования строго определенных алгоритмов в чипах ТРМ в версии 2.0 можно предусмотреть симметричные и асимметричные методы шифрования. Например, в настоящий момент доступны SHA-2, НМАС, ЕСС и AES. К тому же в ТРМ 2 0 путем обновления можно добавить поддержку новых криптоалгоритмов 11 о всей видимости эти чипы найдут широкое распространение в Китае или России - тех странах где в применяются местные алгоритмы шифрования. Подход к использованию ключей также изменится. Если раньше в качестве фундамента для всех прелагаемых служб задействовались два фиксированных
крип ключа то ТРМ 2.0 работает с очень большими случайными числами. Нужные ключи генерируются посредством математических функций использованием начальных чисел в качестве исходных данных. TPM 2.0 предоставляет также возможность генерации ключей только для однократного использования.
Спор вокруг «выключателя» ТРМ 2.0
Будет ли на практике доступен «выключатель» ТРМ, например, в BIOS или UEFI, зависит исключительно от решения производителя аппаратных средств. В разделе 13.3 текущей спецификации библиотек имеется указание о том, что «выключатели» разрешены. Окончательную ясность в данный вопрос внесет отдельная спецификация по внедрению аппаратных компонентов.
Мнение разработчиков программы для шифрования данных TrueCrypt:
Единственная вещь, которую TPM почти способен гарантировать, – создание ложного чувства безопасности (одно только имя – “Trusted Platform Module” (модуль доверенной платформы) – вводит в заблуждение и создаёт ложное чувство безопасности). Для настоящей защиты TPM в действительности излишен (а внедрение избыточных функций, как правило, ведёт к созданию так называемого bloatware – функционально избыточного и ресурсоёмкого ПО). Функции, подобные этой, иногда называют ‘театральной безопасностью’ .
Оставить свой ответ:
