dubbio su TPM/Bitlocker ("trusted state sealed key")

[kimj]

spero sia un argomento accettabile per questa sezione, visto che esiste applicazione anche su Linux: http://www-01.ibm.com/support/knowledge ... tm?lang=en (e spero di non irritare nessuno)

ho appena installato Windows 8.1 per provare Hyper-V, ed ho abilitato bitlocker.
se ho compreso, un modulo uefi, il Windows boot manager, si occupa di sbloccare il volume bitlocker all'avvio.
la chiave di cifratura e' salvata nel chip TPM, e per rilasciarla bisogna(va) inserire un pin.
ora, porte sul retro in questi chip proprietari a parte, scrivo bisognava perché con Windows 8 pare sia ora opzionale inserire un pin/password per confermare l'ownership del chip tpm:
il modulo uefi ha possibilita' di ottenere il pin tramite rete, per agevolare il riavvio dei server:
http://www.uefi.org/sites/default/files ... charya.pdf

non solo: quando avvio il computer, non mi viene chiesta *nessuna* password o PIN per sbloccare il disco, fintanto che uso uefi e secureboot.

mi pare di comprendere che si tratti di una caratteristica di TPM, la 'Trusted State sealed key': da quel poco che ho letto, nata per permettere a software (in funzione sull'os) di cifrare propri file difendendosi di malware, pur senza richiedere all'utente di memorizzare chiavi e materiale crittografico.

il chip TPM avrebbe dei registri PCR che salvano configurazioni del sistema.
per esempio, mi pare di capire, una rom computa l'hash del bios, e lo carica in un registro PCR del chip tpm, per dimostrare che questo non e' compromesso da malware.
il bios calcola l'hash dell'mbr, del bootloader, o di un modulo UEFI tipo il Windows boot manager, e lo carica in un altro registro del chip, per dimostrare che sino a questo stadio il sistema e' in un 'Trusted State'.

il bootloader computa un hash del kernel, file di configurazione essenziali del sistema operativo e cosi' via, e lo carica in un altro registro nel chip tpm.

cosi' via sino a che il sistema operativo verifica l'integrita' del nostro software, eg, ecryptfs, invia l'hash al tpm e se tutti i valori corrispondono ad uno stato salvato nel chip, questi agiscono come un pin ed il chip tpm rilascia il materiale crittografico alla nostra applicazione, permettendole, per esempio, di sbloccare una chiave utilizzata per cifrare... una home.

questo servirebbe, in origine, a garantire che sino al nostro software non esistono compromissioni.

il problema e' che mi pare di capire che lo stesso meccanismo sia utilizzato da Windows 8 al posto del pin:
verificato che il bios, il Windows boot manager ed altri componenti sono integri, Windows richiede al chip tpm la chiave di bitlocker e sblocca il disco senza interazione dell'utente, avendo dimostrato la propria integrita'.

perfetto se si teme un rootkit (sarebbe da usare in concomitanza con una chiave fornita dall'utente IMHO), e rimosso il disco non si puo' leggere niente, visto che la chiave e' salvata sul chip tpm del computer.

mi sembra pero' una storpiatura, per quanto comoda, che un meccanismo di verifica dell'integrita' di un sistema da malware sia usato per cifrare un disco.
alla fine, se un attore malevolo od un forense volesse sbloccare il disco, non potrebbe, ad esempio, collegarsi ai pin del chip tpm ed aspettare il rilascio della chiave, il tutto senza interazione dell'utente?

od estrarlo ed inviargli gli hash che si aspetta (il bios puo' essere standard per un modello, Windows piu' che mai), estrarre la chiave e lavorare su una immagine del disco da decifrare?

sembra un sistema che protegge da furti occasionali, ma affida tutto ad una macchina, non lasciando all'utente materiale crittografico essenziale a decifrare i dati che potrebbe rilasciare o NON rilasciare a suo piacimento, che crolla non appena un attore con le sufficienti risorse e' realmente intenzionato a recuperare i dati, e ruba l'intera macchina.
o piu' semplicemente avviare e fare login con la password dell'utente, che sara' molto piu' debole di una pensata per proteggere dei dati, in quanto l'utente si aspetta serva contro ad un uso non autorizzato, non come unica barriera in suo controllo per proteggere i propri dati.

o accenderlo e, senza interazione dell'utente, avere un sistema che gia' si interfaccia con delle reti, potendo provare un exploit remoto. od uno fisico: lo accendo, lascio che il drive bitlocker venga sbloccato automaticamente, e poi uso questo: http://www.windowsscope.com/index.php?p ... &cid=10029

[kimj]

forse sfruttando expresscard/pci potrebbe anche non essere necessario agire fisicamente sul chip tpm, abbassando di molto il costo dell'operazione...

[kimj]

ed infatti e' possibile: http://www.securityfocus.com/archive/88 ... 0/threaded
eppure la feature e' utilizzata di default e non ho letto nessun warning da parte di microsoft sulla vulnerabilita'...

[lu434]

spero sia un argomento accettabile per questa sezione, visto che esiste applicazione anche su Linux: http://www-01.ibm.com/support/knowledge ... tm?lang=en (e spero di non irritare nessuno)

ho appena installato Windows 8.1 per provare Hyper-V, ed ho abilitato bitlocker.
........un modulo uefi, il Windows boot manager, si occupa di sbloccare il volume bitlocker all'avvio........ chip TPM, e per rilasciarla bisogna(va) inserire un pin.....il bios calcola l'hash dell'mbr, del bootloader, o di un modulo UEFI tipo il Windows boot manager, e lo carica in un altro registro del chip, per dimostrare che sino a questo stadio il sistema e' in un 'Trusted State'.....imi sembra pero' una storpiatura, per quanto comoda, che un meccanismo di verifica dell'integrita' di un sistema da malware sia usato per cifrare un disco. ....sembra un sistema che protegge da furti occasionali, ma affida tutto ad una macchina, non lasciando all'utente materiale crittografico essenziale a decifrare i dati che potrebbe rilasciare o NON rilasciare a suo piacimento, che crolla non appena un attore con le sufficienti risorse e' realmente intenzionato a recuperare i dati, e ruba l'intera macchina....

Salve.
Vorrei acquistare,se mi riesce,forse,l'ultimo Computer"vero"cioè con l'hardware che fa solamente quello che deve.
Ho cercato su vari motori di ricerca e sono entrato anche su vari Forum(inerenti Win o Pinguino);
nessuno è riuscito a darmi una risposta chiara,in merito.

Vedo che sei molto informato/preparato in materia;mi chiedo:se il TPM non c'è sulla scheda madre(come in questo caso)non può"dialogare"con quello eventualmente presente sulla CPU.O no?

http://www.cedap.it/files/NXEEZET011.pdf

Grazie anticipato per Tuo ev.le riscontro.

[kimj]

è oltre un anno che non mi interesso di informatica, quindi non sono sicuro di quanto affermo

ma il problema che cercavo di esporre in questo topic non era tanto l'esistenza di tpm, quanto l'uso (a mio avviso errato) che ne fanno recenti versioni di windows: memorizzare mediante TPM la chiave di cifratura del disco, in modo da evitare all'utente di dover inserire una password all'avvio. Questo permetterebbe al disco di essere sbloccato automaticamente senza il consenso del proprietario, che viene poi autenticato solo al login, in teoria aggirabile con accesso fisico al computer.

TPM in se non è, in mia opinione, una tecnologia maligna, tutt'altro. Ed è anche possibile utilizzarla in linux, nonostante il supporto immaturo.

Piuttosto, se il dubbio riguarda 'Intel Active Management Technology', i processori celeron come quello del portatile che hai linkato non dovrebbero supportare AMT

[lu434]

Grazie;
quindi la polemica(ora sopita)di una decina di anni fa su TPM era fondata(su Wikipedia,ho trovato che nel 2007 era stato riattivato a distanza su computer in cui l'utente lo aveva disattivato).