TPM 2.0 — крипточип для Windows

Выпущена новая версия TPM — компонента системы шифрования, который должен содержаться в каждом ПК. Это означает большую безопасность при меньшем контроле. CHIP подробно рассказывает об этой полезной технологии.

5257

Trusted Platform Modules (доверяемые платформенные модули) представляют собой небольшие чипы, служащие для защиты данных и уже несколько лет используемые в компьютерах, консолях, смартфонах, планшетах и ресиверах. В настоящее время чипами TPM оснащен приблизительно миллиард устройств, причем 600 миллионов из них — это офисные ПК.

С 2001 года сторонники «теории заговора» стали рассматривать чипы в качестве инструмента контроля, позволяющего якобы ограничивать права пользователя: теоретически TPM-чипы можно применять, например, чтобы ограничить нелегальное копирование фильмов и музыки.Однако за последние 12 лет не было ни одного подобного случая. Более того, Windows использует подобный модуль для безопасной загрузки и шифрования данных жесткого диска посредством BitLocker. Таким образом, TPM обеспечивает преимущество в борьбе с вредоносным ПО и хищением данных.

Несмотря на все это, спецификация версии 2.0 привлекла к себе немало внимания, ведь теперь TPM-чипы запущены «по умолчанию» (раньше пользователю нужно было активировать их самостоятельно). По всей видимости, в скором времени будет сложно найти в продаже устройства без TPM 2.0, так как компания Microsoft соответствующим образом изменила критерии сертификации для Windows. Начиная с 2015 года стандарт TPM 2.0 является обязательным для всех, в противном случае производитель аппаратного обеспечения не получит подтверждение о пройденной сертификации.

TPM-менеджер в окне Панели управления Windows отображает статус и версию чипа TPM

TPM-чип гарантирует безопасность ОС

Самым эффективным способом защиты системы, исключающим возможность проникновения хакеров, является использование аппаратного чипа TPM. Он представляет собой небольшой «компьютер в компьютере»: доверяемый модуль с собственным процессором, оперативной памятью, накопителем и интерфейсом ввода/вывода.

Главной задачей TPM является предоставление в распоряжение операционной системы гарантированно безопасных служб. Например, чипы TPM хранят криптоключи, использующиеся для шифрования данных на жестком диске. Кроме того, модуль подтверждает идентичность всей платформы и проверяет систему на возможные вмешательства хакеров в работу аппаратных средств. На практике TPM в тандеме с UEFI Secure Boot обеспечивает пользователю полностью защищенный и безопасный процесс запуска операционной системы.

Этап, на котором загружается ПО стороннего разработчика (антивирусный сканер), Microsoft обозначает как Measured Boot. Для драйвера ELAM (Early Launch Anti-Malware, ранний запуск антивредоносной программы) от разработчиков антивирусного ПО Microsoft предоставляет свою подпись. Если же она отсутствует, UEFI прерывает процесс загрузки. Ядро проверяет антивирусную защиту при запуске. Если ELAM-драйвер проходит проверку, ядро признает действительными и остальные драйверы. Это исключает возможность того, что руткиты окажут влияние на процесс загрузки Windows и «воспользуются ситуацией», когда антивирусный сканер еще не активен.

Предыдущая спецификация TPM 1.2 использовала устаревшую технологию с внедренными в аппаратной части алгоритмами шифрования RSA-2048 и SHA-1 (последний считается как раз небезопасным). Вместо использования строго определенных алгоритмов в чипах TPM в версии 2.0 можно предусмотреть симметричные и асимметричные методы шифрования. Например, в настоящий момент доступны SHA-2, HMAC, ECC и AES. К тому же в TPM 2.0 путем обновления можно добавить поддержку новых криптоалгоритмов.

TPM-чипы генерируют ключи для BitLocker — системы шифрования в Windows

Подход к использованию ключей также изменился. Если раньше в качестве фундамента для всех предлагаемых служб задействовались два фиксированных криптографических ключа, то TPM 2.0 работает с очень большими случайными числами — так называемыми начальными. При этом нужные ключи генерируются посредством математических функций с использованием начальных чисел в качестве исходных данных. TPM 2.0 предоставляет также возможность генерации ключей только для однократного использования.

ФОТО: компании-производители

ПОДЕЛИТЬСЯ


Предыдущая статьяСинхронизация через Интернет: 5 простых шагов
Следующая статьяТест накладных наушников Sennheiser PX 100-II
КОММЕНТАРИИ



    Загрузка...
    MEDIAMETRICS