Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam,
Posiadam laptopa z wbudowanym modułem TPM. Do czego można by go wykorzystać w środowisku Windows i Linux?
Chodzi mi o konkretne zastosowania ze znanymi aplikacjami.
Offline
[img]http://forum.ubuntu.pl/images/smilies/google.gif[/img]
http://pl.wikipedia.org/wiki/Trusted_Platform_Module
Offline
[quote=Jacekalex][url]http://forum.ubuntu.pl/images/smilies/google.gif[/url]
http://pl.wikipedia.org/wiki/Trusted_Platform_Module[/quote]
:) Sęk w tym, że naprawdę, pomimo znajomości istnienia tpmd, trousers, gnome-cos-z-tpm i jeszcze czegoś tam, jak praktycznie (przez zwykłego usera) to wykorzystać?
BTW która wersja TPM? [url=http://www.thinkwiki.org/wiki/Embedded_Security_Subsystem]Tutaj[/url] trochę więcej w kontekście thinkpad'ów :)
EDIT: pamiętam coś z TrustedGRUB.
Ostatnio edytowany przez paoolo (2011-02-27 23:34:36)
Offline
TPM nie jest dla usera, tylko po to, żeby śledzić usera.
Jest elementem technologii [url=http://jakilinux.org/gnu/vista-drm-i-nasze-prawa/]DRM[/url], w dodatku pozwala śledzić usera, jak w "Roku 1984" G. Orwella.
W końcu - jeśli masz np Windows7, a do tego przy każdym odpaleniu np WMP lub Silverighta, taki program będzie wysyłał sygnaturę podpisu cyfrowego z klucza TPM, to w internecie będzie możliwość dokładnego odtworzenia co do sekundy, wszystkich filmów, jakie obejrzałeś w swoim życiu.
Jeśli do TMP jeszcze przyczepi się Flash i Adobe-Air, to już będzie dokładnie wiadomo, co robisz w necie.
Jak ktoś tego nie rozumie, to niech sobie zobaczy film [url=http://pl.wikipedia.org/wiki/Raport_mniejszo%C5%9Bci_%28film%29]"Raport Mniejszości"[/url] albo [url=http://pl.wikipedia.org/wiki/Rok_1984]"Rok 1984"[/url]
jeśli do TPM dodasz jeszcze kamerkę w lapku, której nie będzie można wyłączyć, (na pytanie, czy Widows rzeczywiście wyłącza kamerkę, czy tylko przełącza ją w tryb cichy - wygasza diodę, żaden sprzedawca ani serwisant nie zna jednoznacznej odpowiedzi.) i do tego zdjęcie biometryczne w systemie ewidencji pesel (dowód osobisty, paszport), oprócz tego jeszcze system lokalizacji telefonu komórkowego, i [url=http://www.heise-online.pl/security/features/Usuwanie-metadanych-EXIF-GPS-i-IPTC-ze-zdjec-1135298.html]dane gps na każdym zdjęciu cyfrowym[/url] to masz mechanizm kontroli, o którym wszyscy dyktatorzy świata, jak np Stalin, Hitler czy Mao mogli tylko pomarzyć.
Zapytaj jakiegoś Rabina, co Niemcy mogli zrobić po 1935 roku bez takiej technologii, używając zwykłych archiwów, i systemu kart perforowanych skonstruowanego przez IBM.
Bo jak w Niemczech uchwalono ustawy Norymberskie, to wszyscy w Europie pukali się w czoło, bo niby jak sprawdzić narodowość i wyznanie pradziadków jakiegoś człowieka.
Dziś nikt mądry by się już nie puknął w czoło, tylko pomyślał np o Google.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-02-28 08:05:14)
Offline
Jak każda technologia i ta ma wady i zalety.
Offline
Pisząc o wadach i zaletach, radzę pamiętać, że punkt widzenia zależy od punktu siedzenia.
To, że w sklepie jakiś kark znalazł lepszy kij baseballowy, który lepiej leży w dłoni, i łatwiej nim się operuje , to dla niego zaleta, dla tego, kto tym kijem oberwie niekoniecznie ;)
Natomiast, jakbym miał w kompie chip z podpisem cyfrowym, do którego każdy program ma dostęp, i każdy program może dzięki temu poinformować producenta lub osoby trzecie, gdzie byłem, co robiłem - nie pytając mnie nawet o opinię, to czy robi to dla mnie?
Jak ja chcę udostępniać o sobie jakieś informacje, to potrafię to na FB albo np nk napisać, żadna komórka , chip czy program nie musi tego robić za mnie.
Zwłaszcza, nie pytając mnie o zdanie, w tej kwestii ;)))
Jeśli natomiast potrzebne jest szyfrowanie, to support AES jest w procesorze, do wszystkich protokołów są moduły w kernelu (`cat /proc/crypto`),
i działają, dlatego specjalny chip do sha1 nie jest mi potrzebny.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-02-28 08:16:24)
Offline
Oczywiście TPM to jedyny układ w komputerze, który ma unikatowy numer seryjny i po którym można zidentyfikować egzemplarz komputera. No i oczywiście jest fabrycznie włączony w BIOS'ie. Każdy napisany soft który wykorzystuje TPM robi to cichaczem. Bla, bla, bla...
Nieobecność klucza RSA w jakimkolwiek układzie z numerem seryjnym nie dyskwalifikuje go jako układu, na podstawie którego można zidentyfikować maszynę i/lub jej właściciela. TPM po prostu utrudnia dostęp do prywatnego klucza, bo klucz jest zamknięty w układzie. Zidentyfikować można kogoś na podstawie innych układów wbudowanych w maszynę, do których też każdy soft ma dostęp.
Offline
Co w niczym nie zmienia faktu, że jest to kolejna zabawka w stylu Orwella,
użytkownikowi Linuxa potrzebna - jak łysemu grzebień, natomiast w Windows potrzebna, aby kochana Vista mogla odtwarzać multimedia DRM.
Ciekaw tylko jestem, co będzie w momencie, kiedy nie będą już produkowane komputery bez tego, i nagle wiele serwisów sieciowych przestanie działać na sprzęcie bez tpm .
Poza tym, jak obecne podzespoły mają numery seryjne, ale idzie to kanalem np na strony vod, czy YT nieszyfrowanym, to w jakimś choćby minimalnym stopniu można kontrolować te informacje, tak, czy inaczej.
Jeśli natomiast tpm ma klucz prywatny, a ja nie mam publicznego, bo ma go producent, to z kompa może iść wszystko, co interesuje tego producenta, a ja nawet nie mogę sprawdzić (choćbym był super specem) - co tak naprawdę wyszło z kompa.
Wiem, że coraz więcej takich śmieci będzie w kompach, ale nie tęsknię za Win$, ani za "bezpieczeństwem" większym, niż sam potrafię sobie skonfigurować przy użyciu dostępnych narzędzi GPL.
Zwłaszcza, że DRM i TPM mają zabezpieczać nie moje interesy, tylko instytucji, które chcą na mnie zarobić.
W samym rachunku za światło można zobaczyć, co się dzieje, kiedy Win$ odtwarza film zabezpieczony drm, i wysyła strumień video zaszyfrowany AES128 do karty graficznej, która go w locie odszyfrowuje.
Po to, żeby ktoś tego nie podsłuchał na porcie PCIex?
I w jakim stopniu taki mechanizm działa na korzyść posiadacza kompa, usera, który go używa.
Bo jedyna korzyść z tpm może być taka, ze teoretycznie można skradzionego lapka namierzyć nawet na księżycu.
W praktyce natomiast szybko znajdzie się sposób, żeby kradzione lapki czyścić z podobnych zabezpieczeń, np przez podmianę chipu.
Samochody też są oznaczone na wszystkie strony, mają numery nawet na szybach, a liczba kradzieży od tego nie spadła w żaden widoczny sposób.
Offline
[b]Jacekalex[/b]: Wybacz ale za takie bzdury to powinienem wypierdolić te posty w pizdu. Mylisz TPM z TC, nie masz pojecia jka działa i do czego sie używa TPM, mieszasz TPM do typowego DRM.
1) TPM - jest akceleratorem kryptograficznym
2) TPM posiada wlasny prywatny klucz RSA stosowany [b]wewnetrznie[/b] co wlasnie zapewnia wysoka pufnosc i bezpiecznestwo tego rozwiazania - klucz "nie wycieknie"
3) dostep do TPM jest jawny
4) TPM mozna stosowac jako autoryzacje sprzetu do odtworzenia materialu z DRM, np. jesli plyta DVD jest "only for DVD player" to poprzez zastosowanie TPM do jej dekodowania mozna umozliwic dekodowanie materialu poprzez TPM a tym samym mozna ogladac material na komputerze.
5) TPM jest/moze byc jednym ze skladnikow TC
6) TPM idealnie nadaje sie do szyfrowanie on the fly dysków
7) TPM dobrze okodowuje sie np. w aplikacjach bankowych i w poleczeniu z kartami chipowymi daja wysoki poziom bezpieczenstwa wraz z duzym poziomem uzytecznosci.
Wiec albo bedziesz pisal zgodnie z tematem czyli o TPM i nie o jakis mitach albo bede wywalal posty, bo "offtop" to jedno a pieprzenie trzy po trzy to drugie. A tak swoja droga to wypierdziel z kompa CPU bo ona tez ma UID podobnie jak BIOS, GPU, ETH i kilka inny sprzetów. A dostep do UID CPU jest niefiltrowany w jakikolwiek sposób bo i niewykonalne bez sprzetowego filtra.
Offline
Moje posty i opinie możesz wywalić, popieram.
jednak dla mnie istotne jest jedno, w jakim stopniu urządzenie działa dla i w interesie użyszkodnika.
TPM jest akceleratorem kryptograficznym? -bardzo dobrze.
Czy potrafi zabezpieczyć szyfrowany kontener, skopiowany na inny komputer, np przez lan przed siłowym złamaniem hasła i odczytaniem zawartości?
Jeśli tak,to bardzo milo, jednak lepszym rozwiązaniem byłoby hasło w postaci biometrycznej - skanery są w wielu lapkach, kamery też.
Co do szyfrowania on the fly dysków, jeśli szyfruje je bez wbudowanego w niego klucza prywatnego (ma taką opcję) to bardzo milo, bo o to -co się dzieje z danymi na dysku po awarii takiego czipu? - wolę nie pytać.
Czy użytkownik może zrobić kopię bezpieczeństwa takiego klucza prywatnego z tpm?
Czy posiada dostęp do klucza publicznego tego czipu? -żeby używać go do szyfrowania np korespondencji?
7) TPM dobrze okodowuje sie np. w aplikacjach bankowych i w poleczeniu z kartami chipowymi daja wysoki poziom bezpieczeństwa wraz z duzym poziomem uzytecznosci.
to rzeczywiście może się przydać głównie w systemach Win$, gdzie ostatnio pokazał się trojan, który wykrada z ramu klucze bitlockera i truecrypta.
Niestety pod innymi systemami trojan nie działa :(
Ostatnio edytowany przez Jacekalex (2011-02-28 11:27:37)
Offline
TrueCrypt nie korzysta z TPM z powodów jakie są opisane w FAQ, choć tak na prawdę nie podają tam powodu. Nie da się wykraść klucza bitlockera kiedy ten do szyfrowania dysku używa TPM.
Dla ciekawych http://technet.microsoft.com/en-us/library/cc732774%28WS.10%29.aspx
Offline
Tym samym mamy już 3 zastosowania:
DRM - multimedia - w Linuxie na razie nie ma, w Win$ jest.
Bilocker - Windows * Ultimate - o ile pamiętam home i pro nie mają tego cudu.
Truecrypt nie używa z powodu:
[quote=truecrypt]Jedyną rzeczą, że TPM jest niemal gwarantowane świadczenia jest fałszywe poczucie bezpieczeństwa (nawet sama nazwa "Trusted Platform Module" jest mylące i tworzy fałszywe poczucie bezpieczeństwa). Jeśli chodzi o prawdziwe bezpieczeństwo, TPM jest rzeczywiście zbędny (i realizacji zbędnych funkcji jest zazwyczaj sposób na stworzenie tzw bloatware). Funkcje takie jak ten są czasem określane jako teatr bezpieczeństwa [6].
Więcej informacji można znaleźć w sekcji Bezpieczeństwo fizyczne i Malware w dokumentacji.[/quote]
Enigmatyczne - "zabezpieczenie operacji bankowych" kiedy klienci nauczą się używać metod kryptograficznych, i zabezpieczeń.
Na razie nawet -jeśli bank odda klientom aplikację która korzysta z TPM, to na 99% znajdzie się na taką aplikację sposób, choćby podmiany plików wykonywalnych przez trojana.
Dlatego - uwierzę, jak zobaczę. ;)
Ostatnio edytowany przez Jacekalex (2011-02-28 12:12:04)
Offline
BTW tematu: to jak można skonsumować ten układ pod Linux'em?
Offline
Tutaj jest conieco na ten temat: http://www.h-online.com/open/features/Linux-and-TPM-747063.html
http://lwn.net/Articles/144681/
Tu znalazłem coś (chyba) ciekawego:
http://www.grounation.org/index.php?post/2008/07/04/8-how-to-use-a-tpm-with-linux
http://www.heise-online.pl/security/features/Trusted-Computing-fakty-i-mity-778163.html
Ostatnio edytowany przez Jacekalex (2011-02-28 13:07:32)
Offline
Ja i tak używam starego dobrego TrueCrypta, który korzysta sobie z instrukcji AES w moim procku na hasło w mojej głowie. Wydajność szyfrowania dysku niezmiernie wzrosła. Wydajność AES jest z 5cio, 6cio krotnie większa niż pozostałych algorytmów stosowanych przez TrueCrypt'a. :)
Offline
U mnie tez truecrypt korzysta z instrukcji procka, naiwasem piszac, chyba większość, jeśli nie wszystkie programy przy AES korzystają z modułu AES kernela - a ten z instrukcji procka.
Przykładowo szyfrowanie AES w każdym przypadku chodzi wyraźnie szybciej, niż inne protokoły.
Offline
Można uzywac wlasnego klucza do szyfrowania.
DRM DRM'owi nierowny dobrze pomyslany DRM nie jest zly. Ale to nie czas i miejsce na dyspute.
Co do aplikacji bankowych moge powiedziec tylko tyle ze dziala to w bezpieczenstwie intranetowym, wiec powiedziec nie moge bo mie papiery ktore podpisalem zabraniaja :)
Nadal patrzysz an to ze zlej strony. Po co jest np. akcelratoro kryptograficzny w Geode? A wlasnie po to ze tak czy siak CPU jest malo efektywnym instrumentem do tego. AES z zasady dzialania jest szybki, ale szybszy na dedykowanym sprzecie do tego.
TPM nie zwalnia z backupow to po pierwsze idea szyfrowania partycji jest nastepujaca:
1) BIOS autoryzuje haslo poprzez TPM
2) partycja jest szyfrowana kluczem w TPM (wgranym/jego wlasnym)
3) krqadna Ci laptopa bo pracujesz dla konkurencyjnej firmy
4) nie sa wstanie odpalic systemu jak i zabootowac z plyty/usb/itp.
5) dziala poziom ochrony TPM dla BIOS
6) wyciagaja dysk
7) dziala poziom ochrony TPM na poziomie partycji
Wiesz co jest bledem, podejscie jakie wybrales, zakladasz ze jak juz jest to cos z kryptografia to to musi byc cos mega-super-uber. Ale jest to specjalistyczny uklad o scisle okreslonym zastosowaniu. Jego mozliwosci sa ograniczone. Mozna go uzywac w glupi sposob (zly DRM), ale mozna go uzywac w jaknajbardziej pozytecznym celu. To tak jakby rozstrzygac czy slusznie jest ze sprzedaja tluczki do miesa. Mozna wyklepac ladny kotlet, ale mozna komus obic nim ryja. Istota jest swiadomosc posiadanego narzędzia, jego wad i zalet, mozliwosci i ograniczen.
Offline
Z tym akurat się zgadzam.
Co do Linuxa, jest support do tego chipa, trzeba się nieźle namęczyć, żeby go użyć, ale w pozytywnym tego słowa znaczeniu użyć można.
Co do szyfrowania i backupu - dla ludzi, którzy znają zasady, to jasne, jednak spora czesć ludzi, którzy używają komputerów, nie jest informatykami, i nie wie, co to są zasady w odniesieniu do komputerów.
Przydatność TPM w Windows? system operacyjny używa go do DRM, które może być nawet dobre, jednak w żaden sposób w domyślnym kształcie nie zabezpiecza interesu użytkownika.
Można co prawda korzystać z bitlockera,specjalnej przeglądarki autoryzującej przez tpm operacje bankowe, jednak są to osobne koszty,
i to znaczne.
Przykładowo w Polsce chyba wszystkie próby użycia podobnej technologii kończyły się jak podpis elektroniczny.
Osobiście w lapku zamiast TPM wolałbym dobrej jakości i dokładny skaner palucha, gdybym mógł go użyć przy uwierzytelnieniu w w encfs, lux lub truecrypt.
W dodatku już jest nowy super chip, i już są możliwości oszukania tego chipa, co widać w [url=http://www.heise-online.pl/security/features/Trusted-Computing-fakty-i-mity-778163.html]tym artykule[/url], natomiast nie zauważyłem w gwarancji żadnego lapka zapisu mówiącego, że w przypadku odkrycia wad i niebezpiecznych funkcji takiego chipa,
i takiej czy innej technologii, mogę żądać wymiany na inny model chipa ;)
Dla porównania oprogramowanie, które ma takie czy inne wady - można wymienić, w ramach aktualizacji, z chipem sprawa nie jest taka prosta.
Dlatego uważam, że część projektu Trusted Computing jest bardziej marketingowym bełkotem, aniżeli faktycznym rozwiązanie problemu bezpieczeństwa komputera.
Chociaż muszę przyznać, że w przypadku kilku projektów, np Xen, Tripwire, Grub - możliwości TPM są wykorzystane w jak najbardziej pozytywnym wariancie.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-03-01 06:13:56)
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00092 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.18.238' WHERE u.id=1 |
0.00068 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.219.18.238', 1732779855) |
0.00062 | SELECT * FROM punbb_online WHERE logged<1732779555 |
0.00037 | SELECT topic_id FROM punbb_posts WHERE id=167065 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=18448 ORDER BY posted |
0.00057 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18448 AND t.moved_to IS NULL |
0.00010 | SELECT search_for, replace_with FROM punbb_censoring |
0.00154 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18448 ORDER BY p.id LIMIT 0,25 |
0.00090 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18448 |
Total query time: 0.00588 s |