Top.Mail.Ru
Что такое TPM и для чего нужен доверенный платформенный модуль | Блог Serverflow
Скачать
прайс-лист Бесплатная
доставка по РФ

Введите промокодполучите бесплатную доставку по РФ

копироватьскопировано
Уважаемые клиенты, 12.06 и 13.06 магазин ServerFlow не работает. Все оформленные заявки будут обработаны 16.06.
Всех с праздником! С Днем России!
Distribution of
Server Components
8 (800) 222-70-01 Консультация IT-специалиста Сравнение
0
Написать в Telegram 5,0 5,0
Что такое TPM и для чего нужен доверенный платформенный модуль

Автор:

Что такое TPM и для чего нужен доверенный платформенный модуль

Статья объясняет, что представляет собой TPM, как он работает и какую роль играет в обеспечении безопасности данных

Содержание: Введение Что такое TPM? Варианты использования TPM Шифрование диска BitLocker и Windows Hello Secure Boot Удаленная аттестация устройств Запечатывание Другие сценарии использования TPM 1.2 TPM 2.0 TPM и Windows 11 Применение TPM в серверах Взлом дискретного TPM Вывод Введение На заре своего появления, персональные компьютеры были очень уязвимы ко всем типам угроз. В 2000-х годах регулярно появлялись новые виды вредоносного ПО, а операционные системы того времени имели очень скудный функционал для защиты данных. Кроме того, распространению вредоносного софта способствовал активно набирающий популярность интернет. Наиболее уязвимым элементом системы были центральные процессоры, которые исполняли зараженный программный код, открывая вирусу возможности для дальнейших вредоносных операций. Избежать этого можно было одним способом — переложить выполнение чувствительных криптографических операций с CPU на другой компонент системы. Представители крупнейших IT-компаний, в числе которых были Intel, Microsoft, IBM, HP и HPE, в 1999 году начали совместную разработку такого передового решения, в результате чего появилась технология TPM. В этой статье мы расскажем, что такое TPM, какие сценарии использования этой технологии существуют, какие версии TPM существуют и можно ли взломать этот модуль. Что такое TPM? TPM (Trusted Platform Module) — это аппаратный модуль безопасности, необходимый для защиты данных и обеспечения доверительной работы компьютеров/серверов с другими устройствами сетевой инфраструктуры. С 2009 года TPM стал основным стандартом безопасности компьютерных систем. Основной задачей TPM является безопасное хранение и создание криптографических ключей, сертификатов и других конфиденциальных данных, необходимых для шифрования, аутентификации и защиты системы от несанкционированного доступа. Чаще всего TPM реализуется как отдельный аппаратный чип небольшого размера, который интегрируется в материнскую плату. TPM также поддерживает различный дополнительный защитный функционал, например, возможность проверки целостности системы, позволяя удостовериться, что программное обеспечение и прошивка не были заражены, изменены или скомпрометированы. Это особенно важно для защиты от атак, связанных с загрузкой вредоносного кода при запуске системы. Многие популярные операционные системы, такие как Windows и Linux, активно используют TPM для реализации функций BitLocker, Secure Boot, Windows Hello и других инструментов безопасности. Благодаря тому, что TPM в разы увеличивает показатели безопасности системы, эта технология стала незаменимым элементом многих сетевых инфраструктур — как корпоративного, так и пользовательского уровня. Модуль TPM добавляет расширенный функционал для обеспечения безопасности системы. Источник: Huawei Forum.  Варианты использования TPM TPM предоставляет множество возможностей для увеличения показателя безопасности систем, благодаря чему его можно использовать в следующих сценариях: Окно управления модулем TPM 2.0. Источник: vaio.com. Шифрование диска BitLocker и Windows Hello TPM необходим для надежного шифрования диска с помощью BitLocker и биометрической аутентификации Windows Hello. BitLocker использует TPM для безопасного хранения ключей шифрования, благодаря чему данные остаются в безопасности даже в случае прямого подключения к устройству злоумышленником. Например, если жесткий диск или SSD извлекаются и подключаются к другому компьютеру, TPM предотвращает расшифровку данных без аутентификации владельца. Конечно, BitLocker может функционировать и без интеграции TPM, однако, Microsoft рекомендует его установку для обеспечения максимального уровня безопасности. Windows Hello, в свою очередь, применяет TPM для защиты биометрических данных, таких как отпечатки пальцев или скан лица, а также их использование в аутентификации. Вместо хранения паролей или шаблонов в уязвимой памяти, данные изолируются внутри модуля TPM, что исключает их компрометацию через взлом системы.  Secure Boot Функция доверенной загрузки (Secure Boot) с использованием TPM предотвращает запуск вредоносного ПО при запуске устройства. Функция TPM в таком случае заключается в выполнении роли хранилища, которое содержит доверенные криптографические хэши компонентов системы, включая прошивку BIOS, загрузчик и операционную систему. При каждом включении компьютера модуль проверяет их целостность, сравнивая текущие значения с эталонными. Если в процессе обнаруживается любое несоответствие, например, из-за вмешательства вредоносного кода, загрузка прерывается или переходит в безопасный режим. Это защищает устройство от атак, таких как "руткиты", которые получают доступ к системе через модификацию загрузочной среды. Доверенная загрузка на базе TPM стала стандартом для современных операционных систем, таких как Windows 11, предоставляя пользователям и организациям мощный инструмент защиты от угроз разного уровня. Удаленная аттестация устройств Удаленная аттестация на базе TPM позволяет проверять состояние устройства перед подключением системы к нему или предоставляет доступ к корпоративным ресурсам. TPM генерирует и хранит уникальные ключи, которые используются для аутентификации устройства, а также записывает сведения о текущем состоянии системы, включая версию прошивки, загруженные модули и параметры безопасности. Администратор или сервер управления может запросить эту информацию для подтверждения, чтобы убедиться, что на устройстве не установлено вредоносного ПО. Только после этого устройство получает доступ к корпоративным данным. Такая технология защищает сети от угроз и исключает возможность подключения зараженного устройства к основной системе, что обеспечивает доверительную среду для работы сотрудников, независимо от их местоположения. Запечатывание Запечатывание (sealing) — это функция TPM, которая позволяет "запечатать" конфиденциальные данные или ключи внутри модуля, чтобы они стали доступными только в определенных условиях. Например, данные могут быть привязаны к конкретному состоянию системы, включая версии BIOS, операционной системы или аппаратных компонентов. Если злоумышленник попытается модифицировать систему, чтобы получить доступ к "запечатанным" данным, TPM блокирует расшифровку. Эта технология используется для защиты криптографических ключей, паролей и прочих критических данных, которые необходимы для функционирования системы или приложений. Запечатывание чаще всего используется в корпоративной среде, а системы пользовательского уровня обходятся более упрощенными функциями безопасности. Другие сценарии использования Помимо основных задач, TPM используется в ряде других сценариев, которые обеспечивают безопасность сложных сетевых инфраструктур. Например, в виртуализации TPM защищает гипервизоры и виртуальные машины, создавая изолированные криптографические пространства для каждой из них. В IoT-устройствах TPM гарантирует защиту данных и аутентификацию между устройствами, минимизируя риски взлома или перехвата данных в сети. В корпоративной среде TPM также применяется для управления цифровыми сертификатами, поддерживая инфраструктуру открытых ключей (PKI) и обеспечивая безопасность электронных подписей и зашифрованной электронной почты. Еще один сценарий использования — привязка лицензий программного обеспечения к конкретным устройствам, предотвращающая их нелегальное использование. TPM также может служить безопасным хранилищем паролей и токенов за счет своих криптографических функций, но такой подход используется не так часто.  TPM 1.2 TPM 1.2 — это первая массово внедренная версия модуля доверительной платформы, разработанная и запущенная в 2003 году для обеспечения базовой аппаратной безопасности на компьютерах и других устройствах. Основной функцией TPM 1.2 является безопасное управление криптографическими ключами, которые используются для шифрования данных, создания цифровых подписей и аутентификации пользователей или устройств. Чип TPM 1.2 поддерживает алгоритмы шифрования RSA с длиной ключа до 2048 бит, симметричные шифры AES 128 и AES 256, а также алгоритм хэширования SHA-1. Кроме того, TPM 1.2 поддерживает генерацию асимметричного шифра при шифровании/дешифровании с открытым ключом и генерацию последовательности случайных чисел (RNG). Модуль позволяет безопасно хранить ключи шифрования, сертификаты и другие конфиденциальные данные в изолированной аппаратной среде, недоступной для операционной системы или сторонних программ. TPM 1.2 все еще используется в некоторых устаревших устройствах и обеспечивает базовый уровень безопасности. Модуль TPM 1.2 ASUS TPM-L R2.0. Источник: Ebay.  TPM 2.0 TPM 2.0 — это современная версия аппаратного модуля безопасности, вышедшая в 2014-ом году в и обеспечивающая значительно более широкий функционал и высокий уровень защиты по сравнению с TPM 1.2. Разработанный для работы с новейшими стандартами безопасности, TPM 2.0 поддерживает усовершенствованные криптографические алгоритмы, такие как SHA-256, ECC и RSA с ключами до 2048 бит, что делает его устойчивым к современным типам угроз и кибератак разной степени опасности. Этот модуль полезен для безопасного хранения криптографических ключей, сертификатов и других конфиденциальных данных, предотвращая их компрометацию даже в случае взлома операционной системы. TPM 2.0 активно используется в корпоративных и домашних системах для реализации инструментов BitLocker, Secure Boot и Device Guard, которые защищают данные, контролируют целостность системы и предотвращают запуск несанкционированного программного обеспечения. Особенностью этой версии является ее гибкость: она может работать с разными архитектурами, включая ARM и x86 процессоры, что позволяет использовать ее на разнообразных типах устройств — от серверов до IoT-устройств. TPM 2.0 также позволяет настраивать политику безопасности на уровне платформы, что особенно важно для компаний, стремящихся к созданию безопасной IT-инфраструктуры. В дополнение к аппаратной реализации TPM 2.0 также может быть представлен в виде программного обеспечения (fTPM — эмуляция модуля TPM 2.0), что позволяет использовать преимущества технологии в устройствах, не имеющих возможности интегрировать встроенный чип.  Модуль GIGABYTE GC-TPM2.0. Источник: Xcom.shop.  TPM и Windows 11 TPM является обязательным требованием для установки операционной системы Windows 11. Microsoft сделала этот шаг, чтобы повысить уровень защиты и устройств в условиях постоянного развития различных видов хакерских атак, вирусов и вредоносных программ. TPM 2.0, являющийся минимальным стандартом для Windows 11, обеспечивает надежное аппаратное шифрование, защиту биометрических данных и безопасную аутентификацию. Например, Windows 11 позволяет использовать TPM для изоляции ключей, используемых различными приложениями, минимизируя риск утечек через программные уязвимости. Обязательность TPM 2.0 вызвала споры среди пользователей старых ПК, которые не имеют поддержки этого модуля, но этот шаг оправдан с точки зрения долгосрочного повышения безопасности. Таким образом, интеграция TPM в Windows 11 демонстрирует приверженность Microsoft созданию более защищенной экосистемы, готовой к вызовам современного цифрового мира. Применение TPM в серверах TPM нередко применяется в серверах для обеспечения высокого уровня безопасности данных и защиты инфраструктуры от различных типов вредоносного ПО и других угроз. TPM в серверной среде выполняет следующие функции: Безопасное хранение криптографических ключей и сертификатов, которые используются для шифрования данных на дисках с помощью таких технологий, как BitLocker и LUKS; Защита процесса загрузки системы от атак с вмешательством в BIOS или загрузочную среду;  Реализация безопасной аутентификации пользователей и устройств в серверах корпоративного уровня, что минимизирует риски несанкционированного доступа к системе; Сохранение целостности серверной платформы за счет проверки компонентов на наличие изменения прошивки, что очень эффективно для предотвращения атак типа "rootkit" или "bootkit"; Безопасная изоляция данных и приложений в распределенных вычислительных средах и виртуальных средах; Повышения уровня доверия между клиентами и сервисами в таких конфигурациях, как облачные приложения. Слот для интеграции TPM-модуля в материнскую плату. Источник: Wiki.  Взлом дискретного TPM Несмотря на все функции безопасности, взлом дискретного TPM, установленного в качестве сторонней платы в серверных или персональных системах, вполне возможен, хоть и при условии прямого доступе к устройству. Когда TPM реализуется как отдельный чип, он подключается к материнской плате через интерфейсы шины LPT, чем и могут воспользоваться злоумышленники. Если злоумышленник будет иметь прямой доступ к устройству с дискретным TPM, он сможет в кратчайшее время считать TPM-ключ с помощь инструмента для сниффинга шины LPT и специального ПО-анализатора, которое можно найти в открытом доступе. Однако, эта уязвимость устраняется, если использовать TPM, которые интегрированы непосредственно в процессор и злоумышленники не смогут получить доступ к данным, поскольку такие решения не имеют физического подключения к интерфейсу шины.  Процесс взлома системы BitLocker с модулем TPM 2.0 при помощи сниффера на базе одноплатного компьютера Raspberry Pi. Источник: YouTube. Вывод Конечно, модуль TPM нельзя назвать незаменимым элементом сетевой инфраструктуры, так как безопасности системы можно обеспечить и другими способами, например, используя эмулятор TPM, UEFI или другие аналоги. Однако, для многих сетевых инфраструктур корпоративного уровня, повышение уровня безопасности системы за счет TPM является очень актуальной инвестицией, поскольку такие среды наиболее подвержены атакам с вредоносным ПО. В остальных случаях, например, использовании TPM в персональных компьютерах, этот модуль является лишь приятным дополнением, которое расширяет защитный функционал устройства, минимизируя возможность взлома и кражи конфиденциальных данных.

Что такое TPM и для чего нужен доверенный платформенный модуль

~ 15 мин
8537
Средний
Статьи
Что такое TPM и для чего нужен доверенный платформенный модуль
Содержание:

Введение

На заре своего появления, персональные компьютеры были очень уязвимы ко всем типам угроз. В 2000-х годах регулярно появлялись новые виды вредоносного ПО, а операционные системы того времени имели очень скудный функционал для защиты данных. Кроме того, распространению вредоносного софта способствовал активно набирающий популярность интернет. Наиболее уязвимым элементом системы были центральные процессоры, которые исполняли зараженный программный код, открывая вирусу возможности для дальнейших вредоносных операций. Избежать этого можно было одним способом — переложить выполнение чувствительных криптографических операций с CPU на другой компонент системы. Представители крупнейших IT-компаний, в числе которых были Intel, Microsoft, IBM, HP и HPE, в 1999 году начали совместную разработку такого передового решения, в результате чего появилась технология TPM. В этой статье мы расскажем, что такое TPM, какие сценарии использования этой технологии существуют, какие версии TPM существуют и можно ли взломать этот модуль.

Что такое TPM?

TPM (Trusted Platform Module) — это аппаратный модуль безопасности, необходимый для защиты данных и обеспечения доверительной работы компьютеров/серверов с другими устройствами сетевой инфраструктуры. С 2009 года TPM стал основным стандартом безопасности компьютерных систем. Основной задачей TPM является безопасное хранение и создание криптографических ключей, сертификатов и других конфиденциальных данных, необходимых для шифрования, аутентификации и защиты системы от несанкционированного доступа. Чаще всего TPM реализуется как отдельный аппаратный чип небольшого размера, который интегрируется в материнскую плату. TPM также поддерживает различный дополнительный защитный функционал, например, возможность проверки целостности системы, позволяя удостовериться, что программное обеспечение и прошивка не были заражены, изменены или скомпрометированы. Это особенно важно для защиты от атак, связанных с загрузкой вредоносного кода при запуске системы. Многие популярные операционные системы, такие как Windows и Linux, активно используют TPM для реализации функций BitLocker, Secure Boot, Windows Hello и других инструментов безопасности. Благодаря тому, что TPM в разы увеличивает показатели безопасности системы, эта технология стала незаменимым элементом многих сетевых инфраструктур — как корпоративного, так и пользовательского уровня.

Модуль TPM
Модуль TPM добавляет расширенный функционал для обеспечения безопасности системы. Источник: Huawei Forum

Варианты использования TPM

TPM предоставляет множество возможностей для увеличения показателя безопасности систем, благодаря чему его можно использовать в следующих сценариях:

Окно управления TPM 2.0
Окно управления модулем TPM 2.0. Источник: vaio.com.

Шифрование диска BitLocker и Windows Hello

TPM необходим для надежного шифрования диска с помощью BitLocker и биометрической аутентификации Windows Hello. BitLocker использует TPM для безопасного хранения ключей шифрования, благодаря чему данные остаются в безопасности даже в случае прямого подключения к устройству злоумышленником. Например, если жесткий диск или SSD извлекаются и подключаются к другому компьютеру, TPM предотвращает расшифровку данных без аутентификации владельца. Конечно, BitLocker может функционировать и без интеграции TPM, однако, Microsoft рекомендует его установку для обеспечения максимального уровня безопасности. Windows Hello, в свою очередь, применяет TPM для защиты биометрических данных, таких как отпечатки пальцев или скан лица, а также их использование в аутентификации. Вместо хранения паролей или шаблонов в уязвимой памяти, данные изолируются внутри модуля TPM, что исключает их компрометацию через взлом системы. 

Secure Boot

Функция доверенной загрузки (Secure Boot) с использованием TPM предотвращает запуск вредоносного ПО при запуске устройства. Функция TPM в таком случае заключается в выполнении роли хранилища, которое содержит доверенные криптографические хэши компонентов системы, включая прошивку BIOS, загрузчик и операционную систему. При каждом включении компьютера модуль проверяет их целостность, сравнивая текущие значения с эталонными. Если в процессе обнаруживается любое несоответствие, например, из-за вмешательства вредоносного кода, загрузка прерывается или переходит в безопасный режим. Это защищает устройство от атак, таких как "руткиты", которые получают доступ к системе через модификацию загрузочной среды. Доверенная загрузка на базе TPM стала стандартом для современных операционных систем, таких как Windows 11, предоставляя пользователям и организациям мощный инструмент защиты от угроз разного уровня.

Удаленная аттестация устройств

Удаленная аттестация на базе TPM позволяет проверять состояние устройства перед подключением системы к нему или предоставляет доступ к корпоративным ресурсам. TPM генерирует и хранит уникальные ключи, которые используются для аутентификации устройства, а также записывает сведения о текущем состоянии системы, включая версию прошивки, загруженные модули и параметры безопасности. Администратор или сервер управления может запросить эту информацию для подтверждения, чтобы убедиться, что на устройстве не установлено вредоносного ПО. Только после этого устройство получает доступ к корпоративным данным. Такая технология защищает сети от угроз и исключает возможность подключения зараженного устройства к основной системе, что обеспечивает доверительную среду для работы сотрудников, независимо от их местоположения.

Запечатывание

Запечатывание (sealing) — это функция TPM, которая позволяет "запечатать" конфиденциальные данные или ключи внутри модуля, чтобы они стали доступными только в определенных условиях. Например, данные могут быть привязаны к конкретному состоянию системы, включая версии BIOS, операционной системы или аппаратных компонентов. Если злоумышленник попытается модифицировать систему, чтобы получить доступ к "запечатанным" данным, TPM блокирует расшифровку. Эта технология используется для защиты криптографических ключей, паролей и прочих критических данных, которые необходимы для функционирования системы или приложений. Запечатывание чаще всего используется в корпоративной среде, а системы пользовательского уровня обходятся более упрощенными функциями безопасности.

Другие сценарии использования

Помимо основных задач, TPM используется в ряде других сценариев, которые обеспечивают безопасность сложных сетевых инфраструктур. Например, в виртуализации TPM защищает гипервизоры и виртуальные машины, создавая изолированные криптографические пространства для каждой из них. В IoT-устройствах TPM гарантирует защиту данных и аутентификацию между устройствами, минимизируя риски взлома или перехвата данных в сети. В корпоративной среде TPM также применяется для управления цифровыми сертификатами, поддерживая инфраструктуру открытых ключей (PKI) и обеспечивая безопасность электронных подписей и зашифрованной электронной почты. Еще один сценарий использования — привязка лицензий программного обеспечения к конкретным устройствам, предотвращающая их нелегальное использование. TPM также может служить безопасным хранилищем паролей и токенов за счет своих криптографических функций, но такой подход используется не так часто. 

TPM 1.2

TPM 1.2 — это первая массово внедренная версия модуля доверительной платформы, разработанная и запущенная в 2003 году для обеспечения базовой аппаратной безопасности на компьютерах и других устройствах. Основной функцией TPM 1.2 является безопасное управление криптографическими ключами, которые используются для шифрования данных, создания цифровых подписей и аутентификации пользователей или устройств. Чип TPM 1.2 поддерживает алгоритмы шифрования RSA с длиной ключа до 2048 бит, симметричные шифры AES 128 и AES 256, а также алгоритм хэширования SHA-1. Кроме того, TPM 1.2 поддерживает генерацию асимметричного шифра при шифровании/дешифровании с открытым ключом и генерацию последовательности случайных чисел (RNG). Модуль позволяет безопасно хранить ключи шифрования, сертификаты и другие конфиденциальные данные в изолированной аппаратной среде, недоступной для операционной системы или сторонних программ. TPM 1.2 все еще используется в некоторых устаревших устройствах и обеспечивает базовый уровень безопасности.

ASUS TPM-L R2.0
Модуль TPM 1.2 ASUS TPM-L R2.0. Источник: Ebay

TPM 2.0

TPM 2.0 — это современная версия аппаратного модуля безопасности, вышедшая в 2014-ом году в и обеспечивающая значительно более широкий функционал и высокий уровень защиты по сравнению с TPM 1.2. Разработанный для работы с новейшими стандартами безопасности, TPM 2.0 поддерживает усовершенствованные криптографические алгоритмы, такие как SHA-256, ECC и RSA с ключами до 2048 бит, что делает его устойчивым к современным типам угроз и кибератак разной степени опасности. Этот модуль полезен для безопасного хранения криптографических ключей, сертификатов и других конфиденциальных данных, предотвращая их компрометацию даже в случае взлома операционной системы. TPM 2.0 активно используется в корпоративных и домашних системах для реализации инструментов BitLocker, Secure Boot и Device Guard, которые защищают данные, контролируют целостность системы и предотвращают запуск несанкционированного программного обеспечения. Особенностью этой версии является ее гибкость: она может работать с разными архитектурами, включая ARM и x86 процессоры, что позволяет использовать ее на разнообразных типах устройств — от серверов до IoT-устройств. TPM 2.0 также позволяет настраивать политику безопасности на уровне платформы, что особенно важно для компаний, стремящихся к созданию безопасной IT-инфраструктуры. В дополнение к аппаратной реализации TPM 2.0 также может быть представлен в виде программного обеспечения (fTPM — эмуляция модуля TPM 2.0), что позволяет использовать преимущества технологии в устройствах, не имеющих возможности интегрировать встроенный чип. 

GIGABYTE GC-TPM2.0
Модуль GIGABYTE GC-TPM2.0. Источник: Xcom.shop

TPM и Windows 11

TPM является обязательным требованием для установки операционной системы Windows 11. Microsoft сделала этот шаг, чтобы повысить уровень защиты и устройств в условиях постоянного развития различных видов хакерских атак, вирусов и вредоносных программ. TPM 2.0, являющийся минимальным стандартом для Windows 11, обеспечивает надежное аппаратное шифрование, защиту биометрических данных и безопасную аутентификацию. Например, Windows 11 позволяет использовать TPM для изоляции ключей, используемых различными приложениями, минимизируя риск утечек через программные уязвимости. Обязательность TPM 2.0 вызвала споры среди пользователей старых ПК, которые не имеют поддержки этого модуля, но этот шаг оправдан с точки зрения долгосрочного повышения безопасности. Таким образом, интеграция TPM в Windows 11 демонстрирует приверженность Microsoft созданию более защищенной экосистемы, готовой к вызовам современного цифрового мира.

Применение TPM в серверах

TPM нередко применяется в серверах для обеспечения высокого уровня безопасности данных и защиты инфраструктуры от различных типов вредоносного ПО и других угроз. TPM в серверной среде выполняет следующие функции:

  • Безопасное хранение криптографических ключей и сертификатов, которые используются для шифрования данных на дисках с помощью таких технологий, как BitLocker и LUKS;
  • Защита процесса загрузки системы от атак с вмешательством в BIOS или загрузочную среду; 
  • Реализация безопасной аутентификации пользователей и устройств в серверах корпоративного уровня, что минимизирует риски несанкционированного доступа к системе;
  • Сохранение целостности серверной платформы за счет проверки компонентов на наличие изменения прошивки, что очень эффективно для предотвращения атак типа "rootkit" или "bootkit";
  • Безопасная изоляция данных и приложений в распределенных вычислительных средах и виртуальных средах;
  • Повышения уровня доверия между клиентами и сервисами в таких конфигурациях, как облачные приложения.
slot-tpm-modulya.jpg
Слот для интеграции TPM-модуля в материнскую плату. Источник: Wiki

Взлом дискретного TPM

Несмотря на все функции безопасности, взлом дискретного TPM, установленного в качестве сторонней платы в серверных или персональных системах, вполне возможен, хоть и при условии прямого доступе к устройству. Когда TPM реализуется как отдельный чип, он подключается к материнской плате через интерфейсы шины LPT, чем и могут воспользоваться злоумышленники. Если злоумышленник будет иметь прямой доступ к устройству с дискретным TPM, он сможет в кратчайшее время считать TPM-ключ с помощь инструмента для сниффинга шины LPT и специального ПО-анализатора, которое можно найти в открытом доступе. Однако, эта уязвимость устраняется, если использовать TPM, которые интегрированы непосредственно в процессор и злоумышленники не смогут получить доступ к данным, поскольку такие решения не имеют физического подключения к интерфейсу шины. 

Взлом системы BitLocker с модулем TPM 2.0
Процесс взлома системы BitLocker с модулем TPM 2.0 при помощи сниффера на базе одноплатного компьютера Raspberry Pi. Источник: YouTube.

Вывод

Конечно, модуль TPM нельзя назвать незаменимым элементом сетевой инфраструктуры, так как безопасности системы можно обеспечить и другими способами, например, используя эмулятор TPM, UEFI или другие аналоги. Однако, для многих сетевых инфраструктур корпоративного уровня, повышение уровня безопасности системы за счет TPM является очень актуальной инвестицией, поскольку такие среды наиболее подвержены атакам с вредоносным ПО. В остальных случаях, например, использовании TPM в персональных компьютерах, этот модуль является лишь приятным дополнением, которое расширяет защитный функционал устройства, минимизируя возможность взлома и кражи конфиденциальных данных.
Автор: Serverflow Serverflow
Поделиться

Комментарии 0

Написать комментарий
Сейчас тут ничего нет. Ваш комментарий может стать первым.
Написать отзыв
12345

Оцените товар!

До 6 фото, размером до 12Мб каждое
Мы получили ваш отзыв!

Он появится на сайте после модерации.

Написать комментарий

Комментарий появится на сайте после предварительной модерации

До 6 фото, размером до 12Мб каждое
Мы получили ваш отзыв!

Он появится на сайте после модерации.

Продолжная использовать наш сайт, вы даете согласие на использование файлов Cookie, пользовательских данных (IP-адрес, вид операционной системы, тип браузера, сведения о местоположении, источник, откуда пришел на сайт пользователь, с какого сайта или по какой рекламе, какие страницы открывает и на какие страницы нажимает пользователь) в целях функционирования сайта, проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.

Я согласен
Мы свяжемся с вами утром

График работы: Пн-Пт 10:00-19:00 (по МСК)

Обработаем вашу заявку
в ближайший рабочий день

График работы: Пн-Пт 10:00-19:00 (по МСК)