TPM安全芯片

注:本文不涉及專業(yè)技術(shù)細節(jié),放心食用

Why

  • 將密鑰存儲在U盤/電腦上,是一件很危險的事情,
    因為文件可以很輕易的被訪問到,
    被人輕易的COPY走.

  • PC上的程序很容易被人篡改,
    付費軟件可以被黑闊破解成免費軟件,
    同理,一些關(guān)鍵加解密程序,也可能被黑闊篡改,使得計算結(jié)果不再可信.

  • 在硬盤加密 BIOS UEFI 安全啟動保護方面,
    擁有一個安全的存儲密鑰的黑箱,安全執(zhí)行加解密和驗證過程的環(huán)境,
    顯得非常重要.

How

  • 能不能將密鑰存儲在一個 只能存 不能讀 的黑箱子中呢?
  • 能不能將加解密程序和它的執(zhí)行過程,也放在一個不容易篡改的黑箱中?

What

Snipaste_2020-10-04_16-55-26.png

  • 已經(jīng)有這種東西了:
    TPM芯片就是這樣的黑箱設(shè)備(Trusted Platform Module),
    它做到了,像是在籠子里執(zhí)行代碼/存儲密鑰一樣,
    外部的黑闊很難對它讀取和干擾.
    對普通用戶來說,
    不需要知道它內(nèi)部是怎么做到的,
    只需要無條件的信任它即可.

  • 摘抄一些微軟文檔中對它的描述:
    1 TPM芯片是一個安全加密處理器.
    2 它包含多個物理安全機制,防止惡意軟件篡改它的功能.
    3 可生成密鑰,存儲密鑰,并限制外界對該密鑰的訪問.
    4 可用于操作系統(tǒng)和主板固件的完整性檢測
    5 可以在計算機上創(chuàng)建證書,把證書的RSA私鑰將綁定到TPM,但不能導(dǎo)出.


物理形態(tài)

  • TPM最常見的形態(tài)是在主板上,
    也有的直接集成在CPU中,如AMDRisonPro.

  • 在手機上也有類似解決方案,
    和PC有一定差別但需求和功能大致是相似的,
    如GooglePixel使用自家稱為Titan M的安全芯片,
    Iphone對應(yīng)的是SEP模塊(Secure Enclave Processor)


2016年后的PC現(xiàn)狀:

  • 當(dāng)前TPM芯片已被廣泛集成到PC電腦中,
    毫不夸張的說,它已經(jīng)成為當(dāng)前計算機系統(tǒng)的安全基石,
    沒有它就沒有UEFI 加載器 操作系統(tǒng)的閉環(huán)安全.

  • 一系列重要安全特性,都需要TPM來提升安全性的下限:
    證書密鑰存儲
    Defender應(yīng)用控制
    BitLocker硬盤加密
    Windows Hello驗證
    UEFI分區(qū)安全
    ......


    Winodws 10


一個普通用戶的常見使用場景:

開啟BitLocker功能時,
用TPM芯片來存儲BitLocker解鎖所需的相關(guān)要素,
這些要素很難被黑闊訪問到.
而在沒有TPM時,直接存到磁盤內(nèi)存里,
可就不是這么回事了.


TPM存在的安全問題

  • 和所有電子設(shè)備一樣,TPM芯片并非萬無一失,同樣可能存在安全問題.
    當(dāng)TPM出現(xiàn)漏洞(后門)等事件,作為整條安全鏈的終極保護,
    通常會造成較為嚴(yán)重的影響,自頂向下導(dǎo)致安全鏈條崩潰.

  • 如果用戶選擇相信和使用TPM,最好經(jīng)過了深思熟慮,
    當(dāng)TPM出問題時,對信任它的用戶們來說,事情會變的不可控.


如何在Windows 10上使用TPM

https://docs.microsoft.com/zh-cn/windows/security/information-protection/tpm/how-windows-uses-the-tpm
https://docs.microsoft.com/zh-cn/windows/security/information-protection/tpm/initialize-and-configure-ownership-of-the-tpm


參考

揭秘TPM安全芯片技術(shù)及加密應(yīng)用

http://safe.it168.com/a2012/0912/1396/000001396884.shtml

Bitlocker、TPM和系統(tǒng)安全

https://zhuanlan.zhihu.com/p/29840740

基于靜態(tài)可信根(SRTM)的Bitlocker的工作原理是什么?

https://zhuanlan.zhihu.com/p/33858479

淺談可信啟動

https://www.freebuf.com/articles/network/236974.html

如何從 TPM 中提取 BitLocker 私鑰

http://www.myzaker.com/article/5ca42b6377ac641810174cea/

TPM-Fail漏洞影響全球數(shù)十億臺設(shè)備

https://baijiahao.baidu.com/s?id=1650167943879290933&wfr=spider&for=pc

英飛凌TPM芯片爆安全漏洞 Google、微軟忙修補

https://www.sohu.com/a/198613435_119709

TPM-FAIL - Houston, We've had a problem

https://www.youtube.com/watch?v=HOoW_Mwi6BQ
https://tpm.fail/

36C3 - Hacking (with) a TPM

https://www.youtube.com/watch?v=NFQ22SBlejk

Trusted Platform Module (TPM) Part 1 Part 2

https://www.youtube.com/watch?v=ZST2Cmt5Fm4
https://www.youtube.com/watch?v=PLef73R3OpY

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。
禁止轉(zhuǎn)載,如需轉(zhuǎn)載請通過簡信或評論聯(lián)系作者。

友情鏈接更多精彩內(nèi)容