Våra senaste
toppartiklar

- MacWorld:

Så lagrar
du dina filer
i hundra år


- Computer Sweden:

Ljudkoden som
triggar mobilköpet


- Computer Sweden:

Molnet tvingar
fram smartare
utvecklare


- TechWorld:

Så gör du
OS X säkrare


- TechWorld:

Tpm - frälsning eller hot?





Tpm, trusted platform module, är i dag en etablerad teknik och är en nödvändighet för att till exempel Bitlocker och annan hårddiskkryptering ska fungera.

När tpm lanserades fanns en stor rädsla för tekniken, många oroade sig för att den skulle kunna användas för mer än att skydda användaren. Kritikerna menade att tpm främst skulle skydda datorn mot användaren för att säkra mjukvaru- och medie­leverantörers kontroll över användarens dator.

Misstron hade sina rötter från Microsofts Palladium-initiativ, och många trodde att samarbetsorganisationen TCG, som står bakom tpm, gick Microsofts ärenden. Palladium-arkitekturen var dock mycket större och omfattade mer hårdvarustöd än vad tpm erbjuder. Syftet var att dela upp programvaror i en del som gick att ”lita på” och en del som inte gick att ”lita på”. Tpm och processorn skulle via operativsystemet skapa en miljö med den indelningen.



"När tpm lanserades var det en fråga om storebror ser dig eller inte. I dag är frågan snarare vilken storebror som ser dig."



Kretsen blev standard
Själva tpm är en krets som numera är standard på de flesta bärbara datorerna, men även finns för många pc-datorer och servermodeller.
Tpm har sedan 2005 funnits tillgänglig för kommersiellt bruk, i version 1.1. Sedan mars 2006 finns den tillgänglig i version 1.2. Huvudfunktionerna är att övervaka plattformen mot oönskade förändringar, säker lagring, kryptering och autentisering. Det innebär att tpm tillhandahåller generering av publika och privata nycklar, generering av symmetriska nycklar, integritetsövervakning av systemet vid start och körning, krypterad lagring av kryptonycklar och lösenord, flera typer av kryptoalgoritmer och funktioner för att plattformen ska kunna autentisera sig mot andra enheter.

Efter uppgraderingen 2006 till version 1.2 har det inte hänt mycket. Standarden har endast justerats med rättningar och förtydliganden.


Flera komponenter
Själva kretsen består av flera komponenter – se bilden överst på nästa sida. Input/output-komponenten hanterar alla in- och utdata till och från krets­en och kontrollerar åtkomsten till denna.

Standarden kräver att själva kryptoprocessorn som allra minst ska bestå av en slumptalsgenerator, sha-1 motor, genereringsmodul för rsa-nycklar och rsa-motor. Leverantörer av tpm:er har möjlighet att lägga till vilka kryptoalgoritmer de vill, men måste minst ha stöd för de sha-1 och rsa.

Det är viktigt att notera att tpm inte är en kryptoaccelerator som underlättar datorns kryptooperationer utan endast hanterar nyckelhanteringen.

Alla nycklar som genereras av tpm måste vara minst 2 048 bitar. Värt att nämna är att slumptalsgeneratorn inte är en äkta hårdvaruslumptalsgenerator, som mäter brus direkt och tar samplingar från bruset, utan att den fungerar på samma premisser som en vanlig pseudoslumptalsgenerator i mjukvara som samlar in slumpdata från maskinen och använder detta som ett frö i en matematisk algoritm.

Hårdvaruslumptalsgenerator har troligen ansetts vara för dyrt i det här sammanhanget.




Det finns många tillverkare av tpm-krets
, Infineon är ett exempel. Tester har visat att tpm-kretsens kvalitet mellan olika leverantörer har skiljt sig avseende säkerhet. Bara för att leverantören tillhandahåller en tpm innebär det inte att leverantören av tpm:en har tänkt igenom sin krets­konstruktion.


16 lagringsboxar
Slutligen kommer vi till pcr, platform configuration registers, som består av ett antal 160-bitars lagringsboxar – det ska alltid finnas minst sexton stycken enligt specifikationen, men leverantören kan ha flera. De är skapade för att lagra hashsummor som genererats när tpm:en aktiveras – då läser tpm:en av olika delar av hårdvara och mjukvara, bland annat bios-kod, moderkortets konfiguration, ipl/mbr (initial program loader/master boot record), ipl/mbr-konfiguration, systemstartssektor, systemstartsblock och systemstartshanteraren, som den sedan skapar hashsummor av och lagrar i respektive pcr. Det är upp till plattforms- och operativsystemsleverantören att definiera ytterligare kontrollsummor som ska lagras i pcr. Vid varje start och löpande kontrollerar tpm:en att de delarna av plattformen är oförändrade.

Tanken med tpm-standarden är att all datorutrustning, mobiltelefoner och nätverkskomponenter ska innehålla en tpm-krets. På så sätt så kan man skapa en säker och pålitlig infrastruktur redan från början.


Detta är tpm

Tpm (trusted platform module) är en integrerad krets som i dag finns i de flesta datorer. Den används framförallt för att skydda kryptonycklar. I och med att varje tpm innehåller egna unika kryptonycklar genererade av kretstillverkaren skulle det i teorin vara möjligt att spåra all användning av en dator på internet. Artikeln förklarar hur tpm fungerar och hur det används i dag.


Sida 1 / 3

Innehållsförteckning

Fakta



  • aik, attestation identification key: Unik nyckel som på ett säkert sätt identifierar tpm anonymt. Varje nyckel används i daa för att bevisa att tpm har en korrekt bekräftelsenyckel. Ett tpm kan erhålla hur många aik-nycklar som helst.
  • ca, certificate authority: Lösning som certifierar publika nycklar genom att signera dem.
  • daa, direct anonymous attestation: Protokoll för att bevisa att tpm innehar en korrekt bekräftelsenyckel utan röja bekräftelsenyckeln.
  • drm, digital rights management: En grupp tekniker för att begränsa åtkomst till media till dem som är behöriga att se på den. Det omfattar såväl åtkomst till dokument som åtkomst till media­filer.
  • pcr, platform configuration register: 16 stycken lagringsboxar med 160 bitars sha-1-summor, hashsummor av vitala delar i operativsystemet och av information som beskriver maskinens hårdvara. Bevisar att plattformen inte blivit manipulerad.
  • rng, random number generator: Hårdvarubaserad slumptalsgenerator.
  • rsa, Rivest Shamir Adleman: Asymmetrisk kryptoalgoritm.
  • sha-1, secure hash algorithm: Kryptografisk hash-funktion. Betraktas inte längre som säker i vissa sammanhang på grund av kollisionsrisk. I dag rekommenderas sha-2, men bristerna i sha-1 har ingen inverkan på säkerheten ännu.
  • TCG, Trusted Computing Group: Icke vinstdrivande organisation som står bakom tpm. Har ett stort antal medlemsföretag, bland andra Microsoft, HP, AMD och Intel.
  • tpm, trusted platfom module: Krets på moderkortet med funktioner för att skydda kryptonycklar och bevara datorns integritet. Öppen standard.

Sida 1 / 3

Artikelkommentatorerna ansvarar själva för sina inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg.
Vi har nolltolerans mot inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande. Även poänglösa datorkrigsinlägg och inlägg som är off topic tas bort. Brott mot reglerna kan leda till permanent avstängning.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla idg.se@idg.se

Läs mer om vår policy i diskussionsforum

Utvalda jobb

Utvalda whitepaper

Software-as-a-Boss
Ditt digitala skyltfönstret
DevOps krossar barriärerna

IDG.se-nyheter via mejl


Nyheter

- TechWorld:

Så arbetar företaget
smartare i Evernote


- CS Jobb:

Hon investerar fem
miljarder om året


- MacWorld:

Så lagrar
du dina filer
i hundra år


- TechWorld:

Banktrojanen Zeus har bytt skepnad

- Computer Sweden:

"Molnet blottar de onödiga kostnaderna"


- IT24:

Rekord för svensk
spelförsäljning


- TechWorld:

Jättarnas plan för att förhindra stöld


- Computer Sweden:

Ljudkoden som
triggar mobilköpet

- PC för Alla:

Netflix: "Här är Sveriges snabbaste bredband"


- Internetworld:

Google Glass blir militärverktyg


- CAP&Design:

Påskägg genom tiderna


- Computer Sweden:

Molnet tvingar
fram smartare
utvecklare


- PC för Alla:

Här är Googles nya Chrome Remote Desktop


- Computer Sweden:

De varnar Facebook: "Mixtra inte med Whatsapp"

- Internetworld:

"Skattepengar för att utreda trams och konspirationer"


- TechWorld:

Dubbelt så snabb MySQL


- TechWorld:

Prisras på anpassad Windows XP-support


- Computer Sweden:

Lundastudenter betalar kaffet med handflatan


- TechWorld:

Så gör du
OS X säkrare


- Computer Sweden:

Polisen anmäler Tele2 för slopad lagring

Nyhetsbrev
Kontakta oss
Postadressen är:
IDG.se, Karlbergsvägen 77, 106 78 Stockholm

Telefon (växel): 08-453 60 00

Ansvarig utgivare: Carl Grape



Om IDG.se
Copyright © International Data Group
Sök efter artiklar och produkter: