Share via

Trusted Platform Module (TPM)

  • Article

Dette er en liten mikrochip i maskina som er spesielt aktuell i forbindelse med Bitlocker Drive Encryption. Standarden for denne chip'en settes av www.trustedcomputinggroup.com og er tilgjenglig i sin helhet fra sidene deres. TPM versjon 1.1 har allerede vært med på bærbare maskiner lenge og nyere maskiner kommer nå med versjon 1.2.

 

TPM kort forklart

TPM kan sammenlignes med et avansert smartkort som er integrert i maskina og består av følgende deler:

  • Kryptografisk co-prosessor
  • HMAC Engine
  • SHA-1 Engine
  • Opt-in (tpm state: on/off/disabled)
  • Non-Volatile minne
  • Volatile minne
  • Key Generation (asymmetrisk)
  • RNG, random number generator
  • Power Detection
  • Execution Engine
  • IO component for system communication

 

Den kryptografiske co-prosessoren håndterer :

  • Asymmetrisk nøkkel generering
  • Asymmetrisk crypt/decrypt
  • Random number generator
  • Hashing
  • HMAC Engine
  • Sikre AuthData
  • Integritets sjekk av IO kommandoer

 

Kort forklart kan en TPM chip genere, lagre og dekryptere/kryptere med asymmetriske nøkler, generere symmetriske nøkler via RNG og knytte tilgang til nøkkelene opp til "system state". Dvs at man ikke får tilgang uten videre om BIOS oppdateres/endres f.eks.

 

TPM chipen krever at man initialiserer og tar eierskap til den før den kan benyttes. På mange maskiner må den skrus på i BIOS før man får kontakt med den via management verktøyene i OS'et. Å ta eierskap til en TPM chip betyr å sette et passord i et spesielt register på chip'en. Strengt tatt er alle som kjenner dette passordet å regne som eier.

 

En TPM chip kan lagre nøkler på en sikker måte, samt gjennom enkle operasjoner (seal/unseal) sørge for at nøkkelen kun kan hentes ut dersom system state er den samme som når nøkkelen ble lagret sist. System state kan bestå av signaturer av f.eks BIOS, MBR , NTFS Boot sektor, Boot manager osv. slik Bitlocker benytter det. Hvert mål eller signatur av en systemdel lagres i et PCR register i TPM'en.

Andre viktige registere er SRK, storage root key, der nøkkelen for å beskytte eksternt lagrede nøkler ligger. EK er endorsment key, nøkkelen som lagres når man tar eierskap til chip'en. SRK kan kun oppdateres når eierskap tas.

 

 

Leverandører

Flere ulike firmaer leverer TPM'er som benyttes av pc leverandørene i sine maskiner. De mest kjente er antagelig Atmel, Broadcom, Infineon, Sinosun, STMicroelectronics og Winbond.