Comments 34
Важно понимать, что модуль не защитит от всех типов атак.Тем не менее, он является важным элементом эшелонированной обороны. Например, если злоумышленник вдруг сможет подменить прошивку моей мат.платы или изменить настройки, то дальше у него не выйдет развить атаку — BitLocker откажется расшифровывать накопитель, запросит ключ восстановления и это меня насторожит.
Какие регистры PCR вы используете для проверки битлокером? По умолчанию PCR 7, 11; проверяется только цепочка подписей Secure Boot, причём корнем может быть только сертификат от Microsoft, в противном случае проверяются регистры PCR 0, 2, 4, 11.
Настройки прошивки - это PCR 1.
Ключи сертификатов UEFI, бывает, утекают. Если вовремя не обновлять их список у себя в прошивке - ссзб. Подсунут малварь в бутлодере, вы и не заметите.
Вариант с PCR 0, 2, 4, 11 выглядит более предпочтительным. Для пущего спокойствия можно и конфиги проверять.
При этом использовать TPM+PIN.
А где ваша граница между параноей и беспечностью?
Какие регистры PCR вы используете для проверки битлокером?0,1,2,3,4,7,11
Ключи сертификатов UEFI, бывает, утекают. Если вовремя не обновлять их список у себя в прошивке — ссзб.Для этого у меня в планировщик загнан самописный скрипт, который периодически проверяет обновления UEFI Revocation List.
TPM+PINУсиленный PIN из 20 (максимально доступное значение) разнорегистровых букв и цифр.
Ох, сурово)
Для этого у меня в планировщик загнан самописный скрипт, который периодически проверяет обновления UEFI Revocation List.
Тут есть один момент - в dbx только список хешей скомпрометированных бинарников. Вот тут пишут, что с помощью KEK тоже можно подписывать бинарники (у автора Lenovo ThinkStation P620 с AMI UEFI на борту, если я правильно понял, возможно, в других реализациях UEFI иначе, надо будет посмотреть как там в EDK2). Отзыв KEK вследствие компрометации - задача чуть менее тривиальная и хуже автоматизируемая, чем обновление dbx.
Впрочем, в вашем случае это будет не столь критично.
У этой вещи есть один большой плюс. Если к тебе домой вламывается СБУ или ФСБ и обвиняет в чем нибудь, то компьютер становится бесполезен в следствии. Снять диск — придётся вводить пароль битлокера. Забрать компьютер — защита меньше, но пароль аккаунта все равно знать надо. Очень полезная вещь. Не 100% далеко, но это хотя бы как поставить дверь в квартиру, а не жить без неё.
Нынешняя проблема в том, что состав сейчас генерируется согласно политзаказу, а не на основе найденной на компьютере обвиняемого информации - поэтому есть она у вас, или нет - не имеет значения. Важнее знать, являетесь ли вы распознаваемым системой оппонентом, или просто статшумом. В первом случае на вас будет обращено особое внимание системы (вы окажетесь в фокусе линзы, собирающей солнечные лучи); во втором - вам достанется лишь средняя мощность системы в ваттах/кв.м.
Противостоять сконцентрированной энергии практически невозможно - можно только попытаться убежать, так как фокусируется система достаточно медленно.
Бояться же средней экспозиционной дозы - особого смысла пока не имеет - так как вероятность того, что вы попадете из второй когорты в первую просто в результате случайного анализа данных вашего ноута, практически равна нулю - она, например, гораздо выше от оставленных вами следов в современной инфосфере, логируемой с глубиной в половину срока президентства - стоит лишь запустить краулер по массиву сохраненных яровых данных.
Нынешняя проблема в томВо-первых, ничто не вечно. Во-вторых, не везде же на планете СБУ и ФСБ.
Я хочу сказать, что апеллировать к «в России это не поможет, значит, это не нужно нигде и никому» не очень корректно. Тем более, что российский рынок даёт (давал) довольно малую часть дохода Microsoft.
Если в исходном комментарии предикатом уже ограничено подмножество, для которого валидно высказывание, и я ставлю под сомнение его валидность для данного подмножества, не оспаривая сам предикат - то очевидно, что область спора ограничена предикатом.
Ваш комментарий выглядит примерно так:
А: наше Солнце - красный карлик
!— Б: если быть точным, не красный, а желтый
!—— В: почему вы считаете, что все звёзды - желтые карлики? В конце концов, во Вселенной миллионы разных звёзд!
Если к тебе домой вламывается СБУ или ФСБ и обвиняет в чем нибудь,
...то дальше следует ректальный криптоанализ, который вскрывает пароль в 100% случаев за считанные минуты.
Если вламывается ФБР/АНБ то скорее всего и этого не потребуется, ибо этот TPM - "кого надо TPM". В качестве примера можно почитать историю предшественника - чипа Clipper.
Так что скорей несите свои ключики на хранение в чёрную коробочку TPM и шифруйте проприетарным закрытым BitLocker, это звучит абсолютно надёжно и безопасно, нет никаких причин задавать лишние вопросы.
Если вламывается
Надо проще смотреть на вещи.
Вламывается обыкновенный домушник и уносит с собой ваш компьютер
Вариант 2 — вы оставили ноут в макдачной на столе среди толпы народа и отлучились ровно на пару минут с тем же результатом.
Вариант 3 (на данный момент имеющий абсолютное численное превосходство) — вы вынужденны срочно уехать, забрав только самое необходимое.
А потом в ваш дом приходят незнакомые вам люди и уносят все найденное с собой.
Против обычного домушника достаточно VeraCrypt или LUKS, и без всяких там спецчипов.
Против обычного домушника достаточно VeraCrypt или LUKS, и без всяких там спецчипов.
Рядовой (и даже продвинутый) пользователь таких слов и не знает.
А про ТРМ (не в последнюю очередь благодаря 11 винде :) в курсе уже очень многие.
Благо на новых компах битлокер работает абсолютно прозрачно — пользователь об этом может и не знать.
Обычный вход с паролем/пином и все, никаких лишних телодвижений от него не требуется.
Разработчики быстро взяли его на вооружение. Случилось это отчасти благодаря тому, что его стала поддерживать Windows Vista.
мне кажется, в Vista майкрософт как раз попыталась впервые применить цифровую подпись драйверов, на словах ради безопасности, а на деле - больше было похоже, что таким образом компания хотела не дать конкурентам вроде линкукса возможности нормально работать на ПК платформе, блокируя доступность драйверов для аппаратных и переферийных устройств.
Очень просто:
Майкрософт, вот драйверы, подпиши
Нет ты, вот соглашение, подпиши сначала его
Но здесь сказано, что мне запрещается вендорить драйверы для любых платформ и программных сред без предварительного согласования с Майкрософт
Ну, да, так и есть
Но это же, фактически, запрет поддержки конкурирующих продуктов, нам придётся прекратить поддержку, например, linux, BSD, Solaris, AIX...
Да нет же, вам придётся сделать осознанный выбор, только и всего; и мы вас не принуждаем ни к одной из опций такого выбора
Можете показать хотя бы один пример такого соглашения, где MS запрещал вендору выпускать драйвера для любых других программных платформ без согласования?
И хотя бы один случай, когда такое реально случилось?
На предложение такого соглашения, тут же есть другой ответ. Подаю в суд на MS за попытку монополизации, и выгребаю у них денег гораздо больше, чем получил бы за сотрудничество.
Сразу найти не удалось, но из того, что помню - там была ситуация, что нельзя было раскрывать документацию по аппаратным устройствам или чипам, потому что это позволяло сделать обход использования цифровых подписей. А значит, и обход DRM на их основе. А в итоге, без документации не особо напишешь длайвер для линукса.
Второй заход против линукса, как я понял, было внедрение UEFI. Та-же песня про надежность и безопасность, а в итоге - ограничение доступа к аппаратному обеспечению.
В Висте какая подсистема мешала.Мягкая перезагрузка не помогала.Только холодный старт.Где то что то портила в аспи подсистеме и памяти (микропраграмма),Линукс не стартавал.Евросоюз сказал Ата та и оштрафовал за такие дела. Там ещё и груб пренудительно стирала, благо Uefi был на моей машине продвинутый и позволял стартовать в режиме Легаси с 2 жёсткого диска.Зато при обновление виста часто ошибку МБР кидала с синим экраном.(виста лицензия сп1,мне знакомый отдал когда пошла 7.)
Вы забыли упомянуть, что TPM так же содержит сертификаты для загрузчиков операционных систем и, что там прошиты обычно сетификаты для Windows (кто бы мог подумать) и, хорошо майкрософт частично владеет Canonical, сертификат для линукса. А если вы хотите поставить ну скажем FreeBSD или хакинтош, помимо виндовоза, то будете отключать TPM каждый раз когда нужно в него загрузиться. Это пока ещё дают его отключить.
Меня лично принципиально не устраивает, что кто то будет за меня решать какие операционны системы дозволено ставить на мой компьютер.
Короче, хотели «как лучше», получилось как всегда.
Кроме того, вам никто не мешает загнать в Secure Boot свои собственные ключи и ими подписать всё необходимое во FreeBSD. Ключи Microsoft там по очень простой причине — кроме Microsoft никто особо не рвался заниматься подписыванием загрузчиков. UEFI Forum, насколько я понимаю, от этой задачи предпочёл уклониться. Ну. то есть, если бы вместо Microsoft это была другая организация, то там были бы уже её ключи. А какие-то ключи по дефолту быть должны, потому что подавляющее большинство пользователей не станет запускать OpenSSL, генерировать ключи, проводить над ними манипуляции, подписывать ими загрузчик и загонять их в прошивку. Это подавляющее большинство банально не обладает необходимыми навыками, для них всё это выглядит, как rocket science.
Странная статья. Как-то вообще не о том рассказывает.
TPM появилась из-за возникновения технологий виртуализации на десктопных ЦПУ. Проблема с хорошими гипервизорами в том, что они позволяют виртуализировать вообще всё, и работать по принципу матрёшки. Мальчиш-плохиш теперь может создать гипервизор, который даст ему полный доступ к памяти и дискам (и никакой битлокер не спасёт), записать его в БИОС и, в общем, всё. Законный владелец даже не сможет обнаружить факт наличия такого вот бэкдора. Устанавливать этот бэкдор могут прямо на китайской фабрике, где клепают материнки, прецеденты были.
TPM как раз предоставляет функции, которые аппаратно нельзя виртуализировать. Ну, точнее, это касается TPM 2.0, с первой попытки не получилось. И основаны эти функции на ассиметричной криптографии, т.е. на факте незнания Плохишом секретного ключа Майкрософт. Ну, от кого надо защита получается...
Как аппаратный TPM 2.0 модуль защищает от гипервизора, который может виртуализировать вообще всё, в том числе и TPM 2.0 (прецеденты есть)? И, чтобы два раза не вставать, где именно в TPM 2.0 ключи Майкрософт?
А можно ссылки на прецеденты виртуализации TPM 2.0? Ну, такие, чтобы нельзя было определить факт виртуализации?
Ключи там в сертификате СА.
Не факт, что именно Майкрософт, но каждый TPM имеет неизвлекаемый приватный ключ, а так же подписанный вендором сертификат. Сертификат удостоверяет, что этот приватный ключ реально от чипа, а не придуман гипервизором пять минут назад.
Соответственно, у вас есть две опции - либо виртуализовать TPM - тогда вы не пройдете аутентификациию, либо не виртуализовать - но тогда вы не сможете вмешаться в обмен, зашифрованный неизвестными ключами.
хм ... и запрет запуска виндовс в виртуалках ?
Автор, у Вас ссылка ведёт не на оригинал статьи.
Ну и Вы изволите очень вольно обращаться с английским языком. TPM не был изначально интегрирован в процессор на материнской плате, а вставлялся туда в разъём. Нет процессоров на Windows 11, есть процессоры, которые ей официально поддерживаются, и они все умеют fTPM. Пароль можно сделать доступным не только для процесса, а только для приложения. Модуль не может войти в ПО, он может хранить информацию о том, что на компьютере запускалось. Два абзаца про генерацию ключей в модуле превратились в утверждение «лучше его полностью изолировать».
Опять же, если метод шифрования РША, почему тогда не БАХ-2 вместо SHA-2?
Модуль TPM в современных процессорах Intel, все-таки находится в чипсете. Intel TPM - это комбинация чипсет + процессор
метод шифрования РША
Вы серьезно?
ваш ПК лишится поддержки и, возможно, не будет получать обновления в будущем.
ОМГ! Не получать обновления - это же просто воплощение мечты любого пользователя винды! XD
Решение оказалось спорным.
Решение оказалось превосходным — наши компы сейчас отлично защищены от случайного обновления на Windows 11 :)
О TPM подробно