Våra senaste
toppartiklar

- CS Jobb:

Han är projektledare
för Star Wars


- Computer Sweden:

"Apple-rapport visar
pyspunka på plattor"



- TechWorld:

Här är de bästa
tipsen för ett
säkrare Java


- TechWorld:

Tpm - frälsning eller hot?





Tpm, trusted platform module, är i dag en etablerad teknik och är en nödvändighet för att till exempel Bitlocker och annan hårddiskkryptering ska fungera.

När tpm lanserades fanns en stor rädsla för tekniken, många oroade sig för att den skulle kunna användas för mer än att skydda användaren. Kritikerna menade att tpm främst skulle skydda datorn mot användaren för att säkra mjukvaru- och medie­leverantörers kontroll över användarens dator.

Misstron hade sina rötter från Microsofts Palladium-initiativ, och många trodde att samarbetsorganisationen TCG, som står bakom tpm, gick Microsofts ärenden. Palladium-arkitekturen var dock mycket större och omfattade mer hårdvarustöd än vad tpm erbjuder. Syftet var att dela upp programvaror i en del som gick att ”lita på” och en del som inte gick att ”lita på”. Tpm och processorn skulle via operativsystemet skapa en miljö med den indelningen.



"När tpm lanserades var det en fråga om storebror ser dig eller inte. I dag är frågan snarare vilken storebror som ser dig."



Kretsen blev standard
Själva tpm är en krets som numera är standard på de flesta bärbara datorerna, men även finns för många pc-datorer och servermodeller.
Tpm har sedan 2005 funnits tillgänglig för kommersiellt bruk, i version 1.1. Sedan mars 2006 finns den tillgänglig i version 1.2. Huvudfunktionerna är att övervaka plattformen mot oönskade förändringar, säker lagring, kryptering och autentisering. Det innebär att tpm tillhandahåller generering av publika och privata nycklar, generering av symmetriska nycklar, integritetsövervakning av systemet vid start och körning, krypterad lagring av kryptonycklar och lösenord, flera typer av kryptoalgoritmer och funktioner för att plattformen ska kunna autentisera sig mot andra enheter.

Efter uppgraderingen 2006 till version 1.2 har det inte hänt mycket. Standarden har endast justerats med rättningar och förtydliganden.


Flera komponenter
Själva kretsen består av flera komponenter – se bilden överst på nästa sida. Input/output-komponenten hanterar alla in- och utdata till och från krets­en och kontrollerar åtkomsten till denna.

Standarden kräver att själva kryptoprocessorn som allra minst ska bestå av en slumptalsgenerator, sha-1 motor, genereringsmodul för rsa-nycklar och rsa-motor. Leverantörer av tpm:er har möjlighet att lägga till vilka kryptoalgoritmer de vill, men måste minst ha stöd för de sha-1 och rsa.

Det är viktigt att notera att tpm inte är en kryptoaccelerator som underlättar datorns kryptooperationer utan endast hanterar nyckelhanteringen.

Alla nycklar som genereras av tpm måste vara minst 2 048 bitar. Värt att nämna är att slumptalsgeneratorn inte är en äkta hårdvaruslumptalsgenerator, som mäter brus direkt och tar samplingar från bruset, utan att den fungerar på samma premisser som en vanlig pseudoslumptalsgenerator i mjukvara som samlar in slumpdata från maskinen och använder detta som ett frö i en matematisk algoritm.

Hårdvaruslumptalsgenerator har troligen ansetts vara för dyrt i det här sammanhanget.




Det finns många tillverkare av tpm-krets
, Infineon är ett exempel. Tester har visat att tpm-kretsens kvalitet mellan olika leverantörer har skiljt sig avseende säkerhet. Bara för att leverantören tillhandahåller en tpm innebär det inte att leverantören av tpm:en har tänkt igenom sin krets­konstruktion.


16 lagringsboxar
Slutligen kommer vi till pcr, platform configuration registers, som består av ett antal 160-bitars lagringsboxar – det ska alltid finnas minst sexton stycken enligt specifikationen, men leverantören kan ha flera. De är skapade för att lagra hashsummor som genererats när tpm:en aktiveras – då läser tpm:en av olika delar av hårdvara och mjukvara, bland annat bios-kod, moderkortets konfiguration, ipl/mbr (initial program loader/master boot record), ipl/mbr-konfiguration, systemstartssektor, systemstartsblock och systemstartshanteraren, som den sedan skapar hashsummor av och lagrar i respektive pcr. Det är upp till plattforms- och operativsystemsleverantören att definiera ytterligare kontrollsummor som ska lagras i pcr. Vid varje start och löpande kontrollerar tpm:en att de delarna av plattformen är oförändrade.

Tanken med tpm-standarden är att all datorutrustning, mobiltelefoner och nätverkskomponenter ska innehålla en tpm-krets. På så sätt så kan man skapa en säker och pålitlig infrastruktur redan från början.


Detta är tpm

Tpm (trusted platform module) är en integrerad krets som i dag finns i de flesta datorer. Den används framförallt för att skydda kryptonycklar. I och med att varje tpm innehåller egna unika kryptonycklar genererade av kretstillverkaren skulle det i teorin vara möjligt att spåra all användning av en dator på internet. Artikeln förklarar hur tpm fungerar och hur det används i dag.


Sida 1 / 3

Innehållsförteckning

Fakta



  • aik, attestation identification key: Unik nyckel som på ett säkert sätt identifierar tpm anonymt. Varje nyckel används i daa för att bevisa att tpm har en korrekt bekräftelsenyckel. Ett tpm kan erhålla hur många aik-nycklar som helst.
  • ca, certificate authority: Lösning som certifierar publika nycklar genom att signera dem.
  • daa, direct anonymous attestation: Protokoll för att bevisa att tpm innehar en korrekt bekräftelsenyckel utan röja bekräftelsenyckeln.
  • drm, digital rights management: En grupp tekniker för att begränsa åtkomst till media till dem som är behöriga att se på den. Det omfattar såväl åtkomst till dokument som åtkomst till media­filer.
  • pcr, platform configuration register: 16 stycken lagringsboxar med 160 bitars sha-1-summor, hashsummor av vitala delar i operativsystemet och av information som beskriver maskinens hårdvara. Bevisar att plattformen inte blivit manipulerad.
  • rng, random number generator: Hårdvarubaserad slumptalsgenerator.
  • rsa, Rivest Shamir Adleman: Asymmetrisk kryptoalgoritm.
  • sha-1, secure hash algorithm: Kryptografisk hash-funktion. Betraktas inte längre som säker i vissa sammanhang på grund av kollisionsrisk. I dag rekommenderas sha-2, men bristerna i sha-1 har ingen inverkan på säkerheten ännu.
  • TCG, Trusted Computing Group: Icke vinstdrivande organisation som står bakom tpm. Har ett stort antal medlemsföretag, bland andra Microsoft, HP, AMD och Intel.
  • tpm, trusted platfom module: Krets på moderkortet med funktioner för att skydda kryptonycklar och bevara datorns integritet. Öppen standard.

Sida 1 / 3

Artikelkommentatorerna ansvarar själva för sina inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg.
Vi har nolltolerans mot inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande. Även poänglösa datorkrigsinlägg och inlägg som är off topic tas bort. Brott mot reglerna kan leda till permanent avstängning.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla idg.se@idg.se

Läs mer om vår policy i diskussionsforum

Utvalda jobb

Utvalda whitepaper

Hackarnas strategiska mål
Testa agilt
Virtualisera smart

IDG.se-nyheter via mejl


Nyheter

- M3:

"Som att dra
naglarna över
en griffeltavla"


- CS Jobb:

Han är projektledare
för Star Wars


- Computer Sweden:

Heartbleed får jättarna att öppna plånboken


- IDG.se:

Världens mäktigaste röntgenlaser

- M3:

Roota Androiden: Pac Rom ger det bästa av två världar


- TechWorld:

Vad händer efter molnet?


- Computer Sweden:

Säpo vill använda trojaner


- Computer Sweden:

Podcast: "Operatörernas största miss"

"Därför måste Microsoft leva som de lär"

Ledare "Det finns gott om smidigare alternativ för virtualisering och det saknas som bekant inte utmanare till Office", skriver Jörgen Lindqvist.


- Computer Sweden:

"Apple-rapport visar
pyspunka på plattor"


- Computer Sweden:

Robot norpade lägenheter i bostadskö


- TechWorld:

"Teknikskräcken måste bekämpas"


- PC för Alla:

Nu kan du resa tillbaka i tiden med Street View


Cdon minskar förlusten

RESULTAT Cdon redovisar fortsatt förlust, men vd Paul Fischbein gläds åt bolagets tillväxt.

- Computer Sweden:

IBM hårdsatsar
på servrar för
att klå Intel


- M3:

Första livstecknet från Nvidias nästa spelkonsol



- CIO Sweden:

Duellen: Svenskbaserad it - eller sourcing i Ukraina?


- Internetworld:

E-boksdrömmen som gick i kras


Efter rekordkvartalet - Apple delar upp aktien

Efter en strålande kvartalsrapport meddelar Apple att företaget kommer göra en aktiesplit.

Nyhetsbrev
Kontakta oss
Postadressen är:
IDG.se, Karlbergsvägen 77, 106 78 Stockholm

Telefon (växel): 08-453 60 00

Ansvarig utgivare: Carl Grape



Om IDG.se
Copyright © International Data Group
Sök efter artiklar och produkter: