Guía paso a paso del uso de los servicios TPM en Windows Vista. Concepto Módulo de plataforma de confianza (TPM): la primera vista práctica del conector TPM

Modulo de plataforma confiable.

En tecnología informática Modulo de plataforma confiable. (TPM): el nombre de la especificación que describe el criptoprocesador en el que las claves criptográficas se almacenan para proteger la información, así como el nombre generalizado de la implementación de la especificación especificada, por ejemplo, en forma de "chip TPM" o " Dispositivo de seguridad TPM "(Dell). Anteriormente, llamado "Chip Fritz" (el ex senador Ernest "Fritz" Hollings es conocido por su soporte caliente para el sistema de protección de derechos de autor para información digital, DRM). La especificación de TPM ha sido desarrollada por grupo de computación de confianza (inglés). Versión actual de la especificación TPM - 1.2 Revisión 116, Edición 3 de marzo de 2011.

Breve reseña

El módulo de plataforma de confianza (TPM), un criptoprocesador, proporciona los medios de creación segura de claves de cifrado capaces de limitar el uso de claves (tanto para la firma como para el cifrado / descifrado), con el mismo grado de incompatibilidad que el generador de números aleatorios. Además, este módulo incluye las siguientes características: Certificación remota, encuadernación y almacenamiento seguro confiable. La certificación remota crea una conexión de hardware, descargas de sistemas y configuraciones de host (sistema operativo informático), lo que permite a un tercero (como una tienda de música digital) para verificar que el software, o la música cargada de la tienda no ha sido cambiada o copiada por el usuario (ver Tszzz). El criptoprocesador encripta los datos de esta manera que solo se pueden descifrar en la computadora donde estaban encriptados, ejecutando el mismo software. La unión cifra los datos que utilizan la clave de confirmación de TPM es la clave RSA única registrada en el chip en el proceso de su producción u otra tecla de confianza.

El módulo TPM se puede usar para confirmar la autenticidad del hardware. Dado que cada chip TPM es único para un dispositivo específico, permite autenticar de forma única la plataforma. Por ejemplo, para verificar que el sistema al que esté disponible está disponible es el sistema esperado.

Arquitectura TPM

Los siguientes algoritmos protectores se implementan en la arquitectura del chip:

  • gestión de la memoria protegida,
  • tirado de cifrado y datos,
  • blindaje activo.

El blindaje activo permite que el chip detecte pruebas eléctricas y, si es necesario, bloquee el chip. Además, en la fabricación de TPM, se utilizan pasos tecnológicos no estándar, como confundir la topología de la capa IP. Estas medidas se complican significativamente por el chip de piratería, aumentan el costo de la piratería, lo que conduce a una disminución en posibles intrusos.

Entrada / salida (ENG. E / S)

Este componente controla el flujo de información en el bus. Envía mensajes a los componentes apropiados. El componente de E / S ingresa a la política de acceso asociada con las funciones de TPM.

Procesador criptográfico

Operaciones criptográficas dentro de TPM. Estas operaciones incluyen:

  • Generación de llaves asimétricas (RSA);
  • Cifrado asimétrico / descifrado (RSA);
  • Hashing (SHA-1);
  • Generación de números aleatorios.

TPM utiliza estas posibilidades para generar secuencias aleatorias, generando teclas asimétricas, firma digital y privacidad de los datos almacenados. También TPM admite el cifrado simétrico para las necesidades internas. Todas las teclas almacenadas en vigor deben coincidir con las bits de RSA KEY 2048.

Memoria no volátil (ENG. Almacenamiento no volátil)

Se utiliza para almacenar la clave de confirmación, clave raíz (clave de raíz de almacenamiento en inglés, SRK), datos de autorización, varias banderas.

Clave de confirmación (Ing. Clave de endoso, EK)

Generador de teclas RSA (ENG. Generador de claves RSA)

Crea un par de claves RSA. TCG no impone los requisitos mínimos para la generación de tiempo clave.

Dispositivo RSA (ENG. MOTOR RSA)

Se utiliza para firmas digitales y cifrado. No hay restricciones en la implementación del algoritmo RSA. Los fabricantes pueden usar el teorema chino sobre restos o cualquier otro método. La longitud mínima de clave recomendada es de 2048 bits. El valor de los expositores abiertos debe ser.

Plataforma de confianza (ESP. La plataforma de confianza)

En los sistemas TCG, las raíces de confianza son componentes que deben confiar. Un conjunto completo de raíces de confianza tiene la funcionalidad mínima necesaria para describir la plataforma, que afecta al poder del abogado de esta plataforma. Hay tres raíces de confianza: la raíz de confianza para las mediciones (RTM), la raíz de confianza para el almacenamiento (RTS) y la raíz de confianza para los mensajes (RTR). RTM es un mecanismo de computación que produce mediciones confiables de la integridad de la plataforma. RTS es un mecanismo de computación capaz de mantener los valores de integridad de hashing. RTR: un mecanismo que informa de manera confiable la información almacenada en RTS. Los datos de medición describen las propiedades y características de los componentes medidos. Hasi de estas mediciones: una "instantánea" del estado de la computadora. Su almacenamiento se realiza mediante la funcionalidad de RTS y RTR. Comparando el hash de los valores medidos con el estado de confianza de la plataforma, puede hablar sobre la integridad del sistema.

Posibles aplicaciones

Autenticación

TPM se puede considerar como un token (token de seguridad) de la autenticación de próxima generación. El criptoprocesador admite la autenticación y el usuario, y la computadora, proporcionando acceso a la red solo por usuarios y computadoras autorizadas. Esto se puede usar, por ejemplo, al proteger el correo electrónico basado en el cifrado o la firma utilizando certificados digitales asociados con TPM. Además, el fallo de las contraseñas y el uso de TPM le permite crear modelos de autenticación más fuertes para el acceso cableado, inalámbrico y VPN.

Protección de datos del robo.

Este es el propósito principal del "contenedor protegido". Los dispositivos autosuagos implementados sobre la base de las especificaciones del Grupo de Computación de confianza hacen que el cifrado incorporado y el control de acceso a los datos. Dichos dispositivos proporcionan cifrado de disco completo, protegiendo los datos al perder o robar una computadora.

Beneficios:

  • Mejora del rendimiento
El cifrado de hardware le permite operar con todo el rango de datos sin pérdida de rendimiento.
  • Amplificación de seguridad
El cifrado siempre está habilitado. Además, las llaves se generan dentro del dispositivo y nunca lo dejan.
  • Costos de bajo costo
No se requieren modificaciones del sistema operativo, aplicaciones, etc.. Para el cifrado, no se utilizan los recursos del procesador central.

Las perspectivas grandes tienen un montón de TPM + BitLocker. Esta solución le permite cifrar de forma transparente todo el disco.

Control de acceso a la red (NAC)

TPM puede confirmar la autenticidad de la computadora e incluso su rendimiento incluso antes de recibir el acceso a la red y, si es necesario, coloque una computadora en cuarentena.

Cambiar protección

La certificación del Código del Programa protegerá los juegos del tronco y los programas sensibles, como los clientes bancarios y postal, desde la modificación intencional. Inmediatamente, la adición del "caballo Trojan" se detendrá en el instalador de Messenger Fresh.

Protección de copia

La protección de copia se basa en tal cadena: el programa tiene un certificado que lo proporciona (y solo el TI) acceda a la clave de decodificación (que también se almacena en TPM). Esto le da protección a la copia que no se puede evitar software.

Ventas

Fabricantes

Ya más de 300 "000" 000 computadoras estaban equipadas con un chip de TPM. En el futuro, TPM se puede instalar en dispositivos como teléfonos móviles. Los microcontroladores de TPM son fabricados por las siguientes empresas:

  • Sinosun
  • Nuvoton,

Crítica

El módulo de plataforma de confianza es criticado por el nombre (Trust - Inglés. confianza. - Siempre mutuo, mientras que el usuario, los desarrolladores de TPM y no confían) y para la infracción de la libertad asociada con ella. Para estas infracciones, el dispositivo a menudo se llama Computación traicionera ("Cálculos traicioneros").

Pérdida de la computadora de "posesión"

El dueño de la computadora ya no puede hacer nada con él, pasando parte de los derechos de los fabricantes de software. En particular, TPM puede interferir (debido a errores en software o soluciones de desarrolladores intencionales):

  • transferir datos a otra computadora;
  • elija libremente software para su computadora;
  • procese los datos existentes por cualquier programa disponible.

Pérdida de anonimato

Basta con recordar las disputas sobre el número de identificación del procesador Pentium III para comprender lo que puede causar un identificador de computadora de forma remotamente legible y sin cambios.

Supresión de los competidores

El programa que se ha convertido en el líder de la industria (como AutoCAD, Microsoft Word o Adobe Photoshop) puede establecer el cifrado en sus archivos, lo que hace que sea imposible acceder a estos archivos a través de programas de otros fabricantes, creando así una amenaza potencial para la libre competencia en la solicitud de El software de aplicación.

Rotura

Cuando el desglose TPM, los contenedores protegidos son inaccesibles, y los datos en ellos son infrecuentes. TPM es práctico solo si hay un sistema de respaldo complejo, naturalmente, para garantizar el secreto, debe tener sus propios TPMS.

Hackear

En la conferencia de seguridad informática de Black Hat 2010, se anunció una piratería del FLIP INFINEON SLE66 CL PE, fabricado por la especificación de TPM. Este chip se utiliza en equipos de computadoras, satélite y consola de juegos. Se utilizó un microscopio electrónico para piratería (por valor de $ 70,000). La cubierta de chip se disolvió con ácido, las agujas más pequeñas se utilizaron para interceptaron los comandos. Infineon argumenta que sabían sobre la posibilidad de un chip de piratería física. Borchert (Borchert), vicepresidente de la compañía, aseguró que el equipo costoso y la complejidad técnica de piratería no representan peligros para la mayoría de los usuarios de los chips abrumadores.

Esta guía paso a paso proporciona las instrucciones necesarias para usar el módulo de plataforma de confianza, TPM (TPM) en el entorno de prueba.

¿Qué es los servicios de TPM?

Los servicios de TPM son un conjunto de nuevas funciones disponibles en Microsoft ®Windows Vista ™ y Windows Server® "Longhorn". Estos servicios se utilizan para administrar el módulo TPM, asegurando la seguridad de su computadora. La arquitectura de los servicios de TPM crea una base para interactuar con la protección de hardware al proporcionar el módulo TPM a nivel de aplicación.

¿Cuál es el módulo TPM?

El módulo de plataforma de confianza (TPM) es un chip destinado a la implementación de funciones básicas relacionadas con la seguridad, principalmente utilizando claves de cifrado. El módulo TPM generalmente se instala en una placa base de escritorio o computadora portátil e interactúa con el resto de los componentes del sistema por medio de un bus del sistema.

Las computadoras equipadas con el módulo TPM tienen la capacidad de crear claves criptográficas y los cifra de tal manera que solo puedan ser descifrados por el módulo TPM. Este proceso, a menudo llamado clave de "escondite" ("llave de envoltura") o la tecla "enlace" (la tecla "enlace"), ayuda a proteger la llave de la divulgación. En cada módulo TPM, hay una clave oculta principal llamada la tecla de almacenamiento raíz (clave de raíz de almacenamiento, SRK), que se almacena en el propio módulo TPM. La parte cerrada de la llave creada en TPM nunca estará disponible para ningún otro componente del sistema, software, proceso o usuario.

Las computadoras equipadas con el módulo TPM también pueden crear claves que no solo se cifrarán, sino que también se vincularán a una configuración específica del sistema. Este tipo de clave se puede descifrar solo si la característica de la plataforma en la que está tratando de descifrar, coincide con la que se creó esta clave. Este proceso se llama clave de "sellado" en el módulo TPM. El descifrado se llama "impresión" ("sin sellar"). El módulo TPM también puede estar sellando e impresión de datos creados fuera del módulo TPM. Cuando se utiliza una llave sellada y dicho software, como el cifrado de la unidad BITLOCKER ™, puede habilitar el bloqueo de datos hasta que se transfieran a una computadora con una configuración de hardware o software adecuado.

Cuando se utiliza el módulo TPM, la parte cerrada del par de claves se almacena fuera de la memoria, el acceso a lo que tiene un sistema operativo. Las teclas pueden ser selladas por el módulo TPM, mientras que la decisión exacta sobre si el sistema es confiable, se tomará antes de que las claves estén impresas y listas para usar. Dado que el módulo TPM para el procesamiento de instrucciones utiliza su propio software y esquemas de lógica incorporados, su trabajo no depende del sistema operativo. Esto garantiza su protección contra posibles vulnerabilidades de software externo.

¿Quién es esta guía para quien?

Este manual está destinado a:

  • Los especialistas en TI se dedican a la planificación y análisis de la infraestructura de la información, evaluando la funcionalidad del producto.
  • Especialistas que realizan la introducción temprana del producto.
  • Arquitectos de seguridad responsables de la implementación del concepto de computación confiable.

En este manual

Requisitos para el uso de los servicios TPM.

Le recomendamos que primero ejecute todos los pasos descritos en este manual en el entorno de prueba. Este manual debe considerarse como un documento separado. No debe verse como un manual completo para la implementación de ciertas características de Windows Vista o Windows Server "Longhorn" y usarlo sin recurrir a la documentación adjunta presentada en la sección .

Preparación del entorno de prueba para estudiar el trabajo de los servicios de TPM.

Para explorar el trabajo de los servicios de TPM, se requiere un medio de prueba, que consiste en una computadora conectada a una red aislada a través de un centro regular o conmutador de segundo nivel. La computadora debe funcionar en ejecución del sistema operativo Windows Vista y estar equipado con un módulo compatible con TPM (versión 1.2), así como la BIOS correspondiente a la especificación del Grupo de Computación de confianza (TCG). También se recomienda utilizar una unidad USB portátil. Al configurar una red para un entorno de prueba, use una gama privada de direcciones IP.

Escenarios principales para el uso de servicios TPM.

Este manual discute los siguientes escenarios de servicio de TPM:

Nota

Tres escenarios presentados en este manual están diseñados para ayudar al administrador a dominar las capacidades proporcionadas por los servicios de TPM en Windows Vista. Estos escenarios contienen información básica y describe los procedimientos necesarios para que los administradores puedan iniciar el proceso de configuración y despliegue en sus redes de computadoras equipadas con módulos TPM. La información, así como los procedimientos necesarios para la configuración adicional o extendida de los servicios de TPM, no se incluyen en este manual.

Escenario 1. Inicialización del módulo TPM

Este script describe en detalle el procedimiento de inicialización del módulo TPM en la computadora. El proceso de inicialización incluye la inclusión del módulo TPM y el nombramiento de su propietario. Este script está escrito para los administradores locales responsables de configurar las computadoras equipadas con el módulo TPM.

A pesar del hecho de que en Windows Vista, se admite la inicialización remota del módulo TPM, generalmente se requiere la presencia personal del administrador para realizar esta operación. Si la computadora se suministra con un módulo TPM ya inicializado, no se requiere una presencia personal. Información sobre la inicialización remota, así como los procedimientos necesarios para esto no incluidos en este manual. Los servicios de TPM involucran una clase de WMI que le permite realizar los procedimientos descritos en esta sección utilizando scripts. La información sobre la escritura de scripts para realizar las tareas especificadas tampoco se incluye en este manual.

Pasos de inicialización del módulo TPM

Para inicializar el módulo TPM instalado en su computadora, debe realizar los siguientes pasos:

Paso 1. Inicialización del módulo TPM

Para que el módulo TPM pueda proteger su computadora, primero debe inicializarse. Esta sección describe el procedimiento de inicialización del módulo TPM instalado en la computadora.

Las computadoras que cumplen con los requisitos de Windows Vista están equipados con una funcionalidad de BIOS que simplifica la inicialización del módulo TPM a través del asistente de inicialización de TPM. Cuando inicia el asistente de inicialización de TPM, puede determinar si el módulo TPM ha sido equipado con una computadora, inicializada o no.

El procedimiento que se describe a continuación lo guiará a través de todos los pasos de inicialización del módulo TPM utilizando el asistente de inicialización de TPM.

Nota
Para realizar el procedimiento que se describe a continuación, debe iniciar sesión en una computadora equipada con un módulo TPM con derechos de administrador.

Para iniciar el asistente de inicialización de TPM y la inicialización del módulo TPM, siga estos pasos:

    En el menú Comienzoseleccione Todos los programas, luego Estándar, luego Llevar a cabo.

    Ingresar tpm.msc. en campo Abierto, luego presiona la tecla INGRESAR.

    Continuar "Fuentes adicionales de información"

    Aparece la consola Gestión del módulo de plataforma de confianza (TPM) en la computadora local.

    En el menú actuarselecciona un equipo Inicializar TPM. . Al mismo tiempo, se lanzará el asistente de inicialización de TPM.

presiona el botón Para reiniciar una computadora, Después de eso, siga las instrucciones en la pantalla que emitirá el BIOS.
Nota. Los mensajes mostrados por la BIOS, así como las acciones de los usuarios necesarias pueden diferir según el fabricante del equipo.

Después de reiniciar, se mostrará una notificación en la pantalla para responder a la que se requiere la presencia personal del usuario. Esto garantiza que el módulo TPM intente inicializar al usuario, y no el software malicioso.

Si aparece el cuadro de diálogo Control de cuentas del usuarioAsegúrese de que la acción propuesta corresponda a lo que ha solicitado y luego haga clic en Continuar. Para más información, consulte la sección. "Fuentes adicionales de información"Ubicado al final de este documento.

Hacer clic Preparar automáticamente el módulo TPM para destino del propietario (recomendado).

Paso 2. Propósito del propietario del módulo TPM

Antes de que se pueda usar el módulo TPM para garantizar la seguridad de su computadora, debe asignarle al propietario de este módulo. Al asignar el propietario del módulo TPM, debe especificar una contraseña. La contraseña es una garantía de que solo el propietario autorizado del módulo TPM puede acceder y administrarlo. La contraseña también se usa para deshabilitar el módulo TPM si ya no desea usarlo, así como para limpiar el módulo TPM si la computadora está preparada para su eliminación.

El siguiente procedimiento le permitirá convertirse en el propietario del módulo TPM.

Los pasos descritos a continuación lo mantendrán a través del procedimiento de asignación del propietario del módulo TPM utilizando el asistente de inicialización de TPM.

Nota

Para asignar el propietario del módulo TPM, siga estos pasos.

Atención. No pierda su contraseña. En caso de pérdida de contraseña, no podrá producir cambios administrativos hasta que limpie el módulo TPM.

Script 2. Apagando y limpiando el módulo TPM

En este escenario, se consideran dos tareas comunes con las que los administradores deberán encontrarse durante un cambio en la configuración o eliminación de la computadora equipada con el módulo TPM. Estas tareas son el módulo TPM y su limpieza.

Cierre del módulo TPM

Algunos administradores pueden decidir que no en cada computadora en su red equipada con el módulo TPM, se requiere una protección adicional que este módulo proporciona. En tal situación, se recomienda asegurarse de que los módulos TPM en las computadoras respectivas estén deshabilitadas. El procedimiento presentado a continuación lo guiará a través de todo el módulo TPM.

Nota
Para desactivar el módulo TPM, no se requiere la presencia personal del administrador.

Para cumplir con el procedimiento que se describe a continuación, debe iniciar sesión en una computadora equipada con un módulo TPM con un administrador local.

Para desactivar el módulo TPM, siga estos pasos.

    En el menú Comienzoescoger párrafo Todos los programas, luego Estándar, luego Llevar a cabo.

    Ingresar tpm.msc. en campo Abiertoy presiona la tecla INGRESAR. Aparece la consola

    Si aparece el cuadro de diálogo Control de cuentas del usuarioAsegúrese de que la acción propuesta corresponda a lo que ha solicitado y luego haga clic en Continuar. Para más información, consulte la sección. "Fuentes adicionales de información"Ubicado al final de este documento.

    En el menú Comportamientoselecciona un equipo Desactivar TPM..

    En el cuadro de diálogo Desactivar el equipo de seguridad para un módulo de plataforma de confianzaustedtome la contraseña y el método de entrada del módulo TPM:

    Si tiene un medio removible que previamente guardó la contraseña del propietario del módulo TPM, insértelo en el lector y presione. En el cuadro de diálogo, haga clic en Descripción general, Abierto, Después de eso, haga clic.

    Ingrese su contraseña (incluidos los guiones) y haga clic en Deshabilitar el módulo de plataforma de confianza.

    Ningún propietario de la contraseña TPMy siga las instrucciones para desactivar el módulo TPM sin ingresar la contraseña.

Nota. Para desactivar el módulo TPM sin ingresar la contraseña del propietario de TPM y realizar un número limitado de tareas relacionadas con la administración, se requiere una presencia personal de un administrador cerca de la computadora.

El estado del módulo TPM se muestra en el área. condicióntPM Management Console.

Limpieza del módulo TPM

La limpieza del módulo TPM conduce a la cancelación del módulo TPM y el módulo TPM se desconecta. Esta acción debe realizarse si la computadora está equipada con un módulo TPM debe eliminarse, o cuando se pierde la contraseña del propietario de TPM. El siguiente procedimiento lo guiará a través de todo el proceso de limpieza del módulo TPM.

Nota
Para limpiar el módulo TPM, no se requiere la presencia personal del administrador.

Para cumplir con el procedimiento que se describe a continuación, debe iniciar sesión en una computadora equipada con un módulo TPM con un administrador local.

Para limpiar el módulo TPM, siga estos pasos.

    En el menú Comienzoseleccione Todos los programas, luego Estándar, luego Llevar a cabo.

    Ingresar tpm.msc. en campo Abiertoy presiona la tecla INGRESAR. Aparece la consola Administración de un módulo de plataforma de confianza (TPM) en una computadora local.

    Si aparece el cuadro de diálogo Control de cuentas del usuarioAsegúrese de que la acción propuesta corresponda a lo que ha solicitado y luego haga clic en Continuar. Para más información, consulte la sección. "Fuentes adicionales de información"Ubicado al final de este documento.
    Atención. El borrado del módulo TPM resultará en que toda su configuración volverá a la fábrica, y el módulo en sí se desactivará. Al mismo tiempo, perderá todas las teclas creadas, así como los datos que han sido protegidos por estas claves.

    En el menú Comportamientoselecciona un equipo Claro TPM.. Si el módulo TPM está deshabilitado, siga el procedimiento descrito en la sección "Paso 1. Inicialización del módulo TPM", Para volver a inicializarlo antes de limpiarlo.

    En el cuadro de diálogo Equipo de seguridad limpio para un módulo de plataforma de confianzaseleccione el métodocontraseña de entrada y limpieza del módulo TPM:

    Si tiene un medio extraíble, a lo que previamente guardó la contraseña del propietario de TPM, insértelo en el lector y haga clic en Hay un archivo de archivo con una contraseña del propietario TPM. En el cuadro de diálogo Seleccione un archivo de copia de seguridad con una contraseña del módulo de plataforma de confianza presiona el botón Descripción general , Para seleccionar un archivo con extension.tpm, ubicado en medios extraíbles, luego haga clic en Abierto, luego haga clic.

    En ausencia de un medio removible con una contraseña guardada, seleccione Ingrese manualmente el propietario de la contraseña TPM. En el cuadro de diálogo que aparece el cuadro de diálogo. Ingrese su contraseña para el propietario del módulo de plataforma de confianza Ingrese la contraseña (incluidos los guiones) y haga clic en Módulo de plataforma transparente..

    Si no conoce la contraseña del propietario de TPM, seleccione Ningún propietario de la contraseña TPM Y siga las instrucciones para limpiar el módulo TPM sin ingresar la contraseña.

Nota. Para limpiar el módulo TPM y realizar un número limitado de tareas asociadas con la administración, sin la necesidad de ingresar la contraseña del propietario de TPM, requiere la presencia personal del administrador cerca de la computadora.

El estado del módulo TPM se muestra en el campo. condición TPM Management Console.

Escenario 3. Bloqueo y permiso para usar los comandos TPM

Este script describe el procedimiento de bloqueo y el permiso para usar los comandos del módulo TPM. Esta tarea puede realizar los administradores locales durante la configuración inicial de la computadora equipada con el módulo TPM, o durante el cambio de su configuración. Los comandos del módulo TPM se pueden controlar a través de una subsidiaria de la consola de control TPM. Equipos de gestión. Aquí, los administradores pueden ver los comandos disponibles para su uso con el módulo TPM. También pueden bloquear y permitir el uso de estos comandos dentro de las restricciones impuestas por la configuración de la Política de grupo y la configuración local de la computadora. El siguiente procedimiento le mantendrá a través de todo el proceso de bloqueo y permitiendo el uso de los comandos del módulo TPM.

Nota
Para cumplir con el procedimiento que se describe a continuación, debe iniciar sesión en una computadora equipada con un módulo TPM con un administrador local.

Para bloquear y habilitar el uso de los comandos de TPM, siga estos pasos.

    En el menú Comienzoseleccione Todos los programas, luego Estándar, luego Llevar a cabo.

    Si aparece el cuadro de diálogo Control de cuentas del usuarioAsegúrese de que la acción propuesta corresponda a lo que ha solicitado y luego haga clic en Continuar. Para más información, consulte la sección. "Fuentes adicionales de información"Ubicado al final de este documento.

    Ingresar tpm.msc. en campo Abierto, luego presiona la tecla INGRESAR.

    En el árbol de la consola, expanda el nodo. Equipos de gestión. Esto mostrará una lista de los comandos TPM.

    Seleccione el comando de la lista que desea bloquear o habilitar para usar.

    En el menú Comportamientohacer clic Bloquee el comando seleccionadoo Permitir la ejecución del comando seleccionado.dependiendo de la necesidad.

Nota. Los administradores locales no pueden permitir los comandos de TPM bloqueados por la política de grupo. Los comandos de TPM especificados especificados de forma predeterminada en la lista de lista bloqueados MMC también se permitirán hasta que se realicen los cambios correspondientes a la Política de grupo que cancele la lista de bloqueo predeterminada.

Registro de errores y revisiones

Dado que los servicios de TPM proporcionan nuevas funciones en Windows Server "Longhorn" y Windows Vista, estamos muy interesados \u200b\u200ben obtener sus comentarios sobre cómo trabajar con ellos, sobre los posibles problemas con los que tiene que enfrentar, así como la utilidad de la documentación disponible.

Cuando detecte errores, siga las instrucciones en el sitio web de Microsoft Connect. También está interesado en obtener sus sugerencias y revisar las revisiones sobre los servicios de TPM.

Sus comentarios y preguntas generales sobre los servicios de TPM Puede dirigir la siguiente dirección de correo electrónico: Mailto: [Correo electrónico protegido]? Asunto \u003d Windows Vista Beta 2 Plataforma de confianza Módulo Servicios de módulo Paso a paso Guía.

Fuentes adicionales de información.

Las siguientes fuentes proporcionan información adicional sobre los servicios de TPM:

    Para obtener apoyo, consulte el sitio web de Microsoft Connect.

    Para obtener acceso a los grupos de noticias de servicio de TPM, siga las instrucciones presentadas en el sitio web de Microsoft Connect.

    El programa de cifrado de disco BITLOCKER está compatible con un blog ubicado en el sitio web de Microsoft TechNet.

Apoyo en el marco del programa de adopción de tecnología de socios especiales.

Si usted es un probador beta y participa en un programa especial de afiliados para la implementación del programa de adopción de tecnología (TAP) Tecnologías (TAP), también puede solicitar ayuda para la Representante del Desarrollador de Microsoft del grupo de desarrolladores de Microsoft.

Los módulos de plataforma de confianza (módulos de plataforma de confianza) son pequeños chips que sirven para proteger los datos y se han utilizado en computadoras, consolas, teléfonos inteligentes, tabletas y receptor. Actualmente, las fichas TPM están equipadas con dispositivos de aproximadamente mil millones, y 600 millones de ellos son PC de oficina.

Desde 2001, los partidarios de la "teoría de la conspiración" comenzaron a considerar los chips como una herramienta de control, lo que permitió que supuestamente limitar los derechos del usuario: teóricamente, los chips TPM se pueden usar, por ejemplo, para limitar la copia ilegal de las películas y la música. Sin embargo , durante los últimos 12 años no ha habido tal caso.. Además, Windows usa un módulo similar para la carga segura y cifrando los datos del disco duro a través de BitLocker. Por lo tanto, TPM proporciona una ventaja en la lucha contra los datos maliciosos y de los datos.

A pesar de todo esto, la especificación de la versión 2.0 ha atraído mucha atención, porque ahora las fichas de TPM se están ejecutando "de forma predeterminada" (anteriormente, el usuario necesitaba para activarlos de forma independiente). Aparentemente, pronto será difícil encontrar a la venta sin TPM 2.0, ya que Microsoft ha cambiado los criterios de certificación para Windows. Desde 2015, el estándar TPM 2.0 es obligatorio para todos, de lo contrario, el fabricante de hardware no recibirá la confirmación de la certificación.

El administrador de TPM en la ventana del Panel de control de Windows muestra el estado y la versión del chip TPM

TPM Chip garantiza la seguridad del sistema operativo

La forma más efectiva de proteger el sistema, excluyendo la posibilidad de penetración de piratas informáticos, es el uso del chip de hardware TPM. Es una pequeña "computadora en una computadora": un módulo de confianza con su propio procesador, RAM, unidad y una interfaz de entrada / salida.

La tarea principal de TPM es proporcionar al sistema operativo los servicios seguros garantizados. Por ejemplo, las criptocluts de TPM Chips Store se utilizan para cifrar datos en el disco duro. Además, el módulo confirma la identidad de toda la plataforma y verifica el sistema para la posible intervención de los hackers en la operación de hardware. En la práctica, las TPM en tándem con UEFI Secure Foot proporcionan al usuario un proceso totalmente protegido y seguro de iniciar el sistema operativo.

La etapa en la que se carga el desarrollador de terceros (escáner antivirus), Microsoft se designa como una bota medida. Para el controlador anti-Malware de lanzamiento temprano, el lanzamiento temprano del Programa Anti-Theroneal) de los desarrolladores antivirus de Microsoft proporciona su firma. Si falta, UEFI interrumpe el proceso de arranque. El kernel comprueba la protección contra virus en el inicio. Si se prueba el controlador ELAM, el kernel reconoce los controladores reales y otros. Esto elimina la posibilidad de que los rootkits influyan en el proceso de carga de Windows y "Aproveche la situación" cuando el escáner antivirus aún no está activo.

La especificación de TPM 1.2 anterior utilizó la tecnología desactualizada con algoritmos de cifrado RSA-2048 y SHA-1 incrustados en el hardware (este último se considera inseguro). En lugar de usar algoritmos estrictamente definidos en los chips TPM en la versión 2.0, se pueden proporcionar métodos de cifrado simétricos y asimétricos. Por ejemplo, SHA-2, HMAC, ECC y AES están actualmente disponibles. Además, en TPM 2.0 al actualizar, puede agregar soporte para nuevos criptoalgoritmos.


Los chips de TPM generan llaves para BitLocker - Sistemas de cifrado de Windows

El enfoque clave también ha cambiado. Si se involucraron dos claves criptográficas fijas como fundamento para todos los servicios ofrecidos, entonces TPM 2.0 funciona con números aleatorios muy grandes: la llamada inicial. Al mismo tiempo, las claves deseadas se generan mediante funciones matemáticas utilizando los números iniciales como los datos de origen. TPM 2.0 también proporciona la capacidad de generar claves solo para un uso único.

El número cada vez mayor de "gusanos", virus y agujeros de primaria en los sistemas operativos modernos y los servicios de redes lo obliga a los profesionales de la TI para desarrollar una nueva y nueva seguridad de la información. Anteriormente, se utilizaban principalmente soluciones de software: el hardware y el software no estaban disponibles para todos. Ahora, gracias a TPM Technology (Módulo de plataforma de confianza), estas soluciones llegaron a las masas y estuvieron disponibles para todos. En esta solicitud, hablaremos sobre lo que es TPM y por qué tiene sentido usar esta tecnología en la empresa.

TPM es un microcontrolador diseñado para implementar características básicas de seguridad utilizando claves de cifrado. El chip TPM se instala en la placa base de la computadora e interactúa con el resto de los componentes del sistema a través del bus del sistema.

El concepto de "módulos de plataforma de confianza" (así es como la abreviatura de TPM se traduce en ruso), pertenece al consorcio del Grupo de Informática (TCG) de confianza, que ha existido desde 2004.
La tecnología TPM en sí no apareció en 2004, pero antes. En 1999, se estableció la alianza de plataformas informáticas de confianza (Alianza de la Plataforma de Computación de confianza, TCPA). Esta alianza incluyó a los desarrolladores más importantes de hardware y software: IBM, HP, Microsoft, etc. A pesar de los nombres de los participantes, las actividades de la Alianza recordaron a las famosas fábulas sobre el cisne, el cáncer y el Pike: todos "cayeron" ( Cada miembro de la Alianza tenía el derecho de cancelar la decisión adoptada por otros miembros), por lo que TPM se desarrolló bastante lentamente.

(adsbygoogle \u003d window.adsbygoogle ||) .push (());

En 2004, la Alianza TCPA se convirtió en el consorcio de TrustedComputinggroup. La estructura de esta organización fue diferente. Las soluciones importantes solo pueden recibir compañías elegidas (se denominan promotores: promotores). Tales empresas son ahora Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft y VeriSign. El resto de las empresas (sus más de mil) tienen el derecho solo para participar en el desarrollo de proyectos de especificaciones o simplemente recibir acceso anterior a nuevos desarrollos.
El resultado principal de TCPA / TCG es el "módulo de plataforma de confianza", que se llamó anteriormente "Fritz Chip). Llevó el nombre del senador estadounidense de Fritz Holling (Fritz Hollings), conocido por su apoyo al sistema de protección de derechos de autor para información digital (gestión de derechos digitales, DRM).

La tarea principal de TPM es la creación de una computadora segura, que se verifica y protege por todos los procesos de comunicación, así como hardware y software. Bajo la protección de la comunicación implica no el proceso de protección de la conexión de la red, sino la protección del proceso de interacción entre las partes individuales del sistema (por ejemplo, OS).
El módulo TPM se puede utilizar para verificar la integridad y la autoría de los datos. El acceso a los datos solo debe tener usuarios de Bath autorizadores, debe garantizar la seguridad de la información en sí. La verificación de integridad garantizará la protección del sistema de virus, "Worms" y otros programas que cambien los datos sin notificar al usuario.
Al desarrollar TPM, la tarea no se estableció para crear un módulo solo para evitar que las computadoras personales o las computadoras portátiles de los virus, esta tecnología se puede usar para garantizar la seguridad de los teléfonos móviles, las PDA, los dispositivos de entrada, las unidades de disco. Junto con él, puede aplicar dispositivos de identificación biométrica. La protección de las conexiones de red se dedica a una división separada de TCG - Confianza en la red Connect (TNC). No consideraremos los frutos de las actividades de TNC, y nos limitaremos solo a TPM.

Por ejemplo, puede instalar un disco duro con soporte TPM (Fig. P37). Dichos discos duros tienen un séptimo largo liberado (Momentus 5400 fde.2). Pero Seagate no es el único fabricante del disco duro con función de cifrado. Otros fabricantes, como Hitachi, también producen "unidades criptográficas". Por lo tanto, la elección de "hierro" que tiene (lea sobre otros fabricantes de hardware y software con soporte de TPM se puede encontrar en www.tonymcfadden.net).

Cómo funciona TPM

Como ya se señaló, el módulo TPM se implementa como un chip en la placa base. El chip TPM se integra en el proceso de carga de la computadora y verifica el sistema Hash utilizando el algoritmo de algoritmo de hash de seguridad, se calcula sobre la base de la información sobre todos los componentes de la computadora, ambos hardware (procesador, disco duro, tarjeta de video) y software (OS).
En el proceso de descargar una computadora, el chip comprueba el estado del sistema, que solo puede ejecutarse en el modo comprobado (condición autorizada), que es posible solo en caso de detección del valor de hash correcto.

Configuración de TPM en Windows

El siguiente manual describe el uso de los servicios TPM en Windows Vista:
http://www.oszone.net/display.php?id\u003d4903.
En Windows Vista y Windows Server 2008, se usa la tecnología de cifrado de disco BitLocker Disc, que está estrechamente interconectada con módulos de confianza (Fig. P38). Acerca de la configuración de BitLocker en Windows Server 2008 y Vista (Fig. P39, P40) se puede encontrar aquí:
http://www.securitylab.ru/contest/300318.php; http://www.oszone.net/4934/vistabitLocker.

Sistemas listos con soporte TPM

Las computadoras TPM terminadas han estado en libertad de venta: tanto computadoras portátiles como computadoras de escritorio. Típicamente, tales sistemas son producidos por los famosos fabricantes como HP, por lo que su precio puede ser ligeramente sobreestimado (recargo "para la marca").
Aquellos que deseen ahorrar pueden ser recomendados para comprar "hierro" con soporte para TPM y recoger todos los suyos. Las placas base necesarias son emitidas por muchos fabricantes, como Asus (M2N32-SLI PREMIUM), MSI (Q35MDO), etc. (Fig. P41).

¿Por qué necesita TPM?

Primero, TPM es un aumento en la seguridad general del sistema y un adicional, implementado en el nivel de protección de protección contra virus, "Troján" y otros espíritus malignos de la computadora. Y en la seguridad, especialmente en la empresa, como sabemos, no vale la pena ahorrar.
En segundo lugar, TPM es datos cifrados en el disco duro. TPM le permite encontrar un compromiso entre la seguridad y el rendimiento.
Dado que el cifrado se lleva a cabo en el nivel de hardware, prácticamente no se refleja en el rendimiento.
En tercer lugar, con TPM, puede hacer sin una contraseña, utilizando la huella digital del usuario en lugar de él. De acuerdo, una solución bastante efectiva. Ayer, vimos tales sistemas en las medias películas fantásticas, y hoy ya es realidad.

Es importante recordar que las TPM no son un medio universal y no una panacea de toda la adversidad de la computadora. Nadie canceló un buen antivirus y firewall. TPM se desarrolló más para proteger los intereses de los gigantes de software: para no permitir que el usuario lanzará un sistema sin licencia. Desde este punto de vista, aún no está claro, TPM es bueno o malo, dado la cantidad de programas sin licencia en nuestras expansiones. Veamos la verdad en los ojos, mucho software pirata.
Además, no hay necesidad de olvidar el factor humano. Una persona puede decir intencionalmente la contraseña a su sistema o escribirlo en algún lugar en un papel amarillo que se pegue al monitor, o simplemente instale una contraseña muy simple que sea fácil de recoger. En esta situación, TPM definitivamente no ayudará. El software llega al rescate, a saber, los sistemas de control de acceso, pero esta es otra historia.




El número cada vez mayor de "gusanos", virus y agujeros de primaria en los sistemas operativos modernos y los servicios de redes lo obliga a los profesionales de la TI para desarrollar una nueva y nueva seguridad de la información. Anteriormente, se utilizaban principalmente soluciones de software: el hardware y el software no estaban disponibles para todos. Ahora, gracias a TPM Technology (Módulo de plataforma de confianza), estas soluciones llegaron a las masas y estuvieron disponibles para todos. En esta solicitud, hablaremos sobre lo que es TPM y por qué tiene sentido usar esta tecnología en la empresa.

¿Qué es TPM?

TPM es un microcontrolador diseñado para implementar características básicas de seguridad utilizando claves de cifrado. El chip TPM se instala en la placa base de la computadora e interactúa con el resto de los componentes del sistema a través del bus del sistema.

El concepto de "módulos de plataforma de confianza" (así es como la abreviatura de TPM se traduce en ruso), pertenece al consorcio del Grupo de Informática (TCG) de confianza, que ha existido desde 2004.

La tecnología TPM en sí no apareció en 2004, pero antes. En 1999, se creó la alianza de plataformas informáticas de confianza (Alianza de la Plataforma de Computación de Confiados, TCPA). Esta alianza incluyó a los desarrolladores más importantes de hardware y software: IBM, HP, Microsoft, etc. A pesar de los nombres de los participantes, las actividades de la Alianza recordaron a las famosas fábulas sobre el cisne, el cáncer y el Pike: todos "cayeron" ( Cada miembro de la Alianza tenía el derecho de cancelar la decisión adoptada por otros miembros), por lo que TPM se desarrolló bastante lentamente.

En 2004, la Alianza TCPA se transformó en un consorcio. TrustedComputingGroup. La estructura de esta organización fue diferente. Las soluciones importantes solo pueden recibir compañías elegidas (se denominan promotores: promotores). Tales empresas son ahora Intel, HP, IBM, AMD, Seagate, Sony, Sol, Microsoft y Verisign.. El resto de las empresas (sus más de mil) tienen el derecho solo para participar en el desarrollo de proyectos de especificaciones o simplemente recibir acceso anterior a nuevos desarrollos.

El resultado principal de TCPA / TCG es el "módulo de plataforma de confianza", que se llamó anteriormente "Fritz Chip). Llevó el nombre del senador estadounidense de Fritz Holling (Fritz Hollings), conocido por su apoyo al sistema de protección de derechos de autor para información digital (gestión de derechos digitales, DRM).

Tasas TPM

La tarea principal de TPM es la creación de una computadora segura, que se verifica y protege por todos los procesos de comunicación, así como hardware y software. Bajo la protección de la comunicación implica no el proceso de protección de la conexión de la red, sino la protección del proceso de interacción entre las partes individuales del sistema (por ejemplo, OS).

El módulo TPM se puede utilizar para verificar la integridad y la autoría de los datos. El acceso a los datos solo debe tener usuarios de Bath autorizadores, debe garantizar la seguridad de la información en sí. La verificación de integridad garantizará la protección del sistema de virus, "Worms" y otros programas que cambien los datos sin notificar al usuario.

Al desarrollar TPM, la tarea no se estableció para crear un módulo solo para evitar que las computadoras personales o las computadoras portátiles de los virus, esta tecnología se puede usar para garantizar la seguridad de los teléfonos móviles, las PDA, los dispositivos de entrada, las unidades de disco. Junto con él, puede aplicar dispositivos de identificación biométrica.

La protección de las conexiones de red se dedica a una división separada de TCG - Confianza en la red Connect (TNC). No consideraremos los frutos de las actividades de TNC, y nos limitaremos solo a TPM.

Hierro y matemáticas

Es lógico asumir que el chip de TPM en la placa base no hace nada. Necesita soporte del resto de la "hierro" y matemáticas - software.

Por ejemplo, puede instalar un disco duro con soporte TPM (Fig. P37). Tales discos duros han producido durante mucho tiempo Seagate. (Momentus 5400 fde.2). Pero Seagate. - No es el único fabricante de discos duros con función de cifrado. Otros fabricantes, como Hitachi, también producen "unidades criptográficas". Por lo tanto, la elección de "hierro" que tiene (lea sobre otros fabricantes de hardware y software con soporte de TPM se puede encontrar en www.tonymcfadden.net).


Higo. P37. Seagate Momentus 5400 fde.2 disco duro

En cuanto al OS, la tecnología TPM es compatible con la mayoría de los sistemas operativos modernos: Windows Vista, Microsoft Windows Server 2003 SP1, Microsoft Windows XP SP2, Windows XP Professional X64, SUSE Linux (a partir de la versión 9.2) y Enterprise Linux (comenzando con la versión 3 Actualización 3).

Cómo funciona TPM

Como ya se señaló, el módulo TPM se implementa como un chip en la placa base. El chip TPM se integra en el proceso de carga de la computadora y verifica el sistema Hash utilizando el algoritmo de algoritmo de hash de seguridad, se calcula sobre la base de la información sobre todos los componentes de la computadora, ambos hardware (procesador, disco duro, tarjeta de video) y software (OS).

En el proceso de descargar una computadora, el chip comprueba el estado del sistema, que solo puede ejecutarse en el modo comprobado (condición autorizada), que es posible solo en caso de detección del valor de hash correcto.

Configuración de TPM en Windows

El siguiente manual describe el uso de los servicios TPM en Windows Vista:

En Windows Vista y Windows Server 2008, se usa la tecnología de cifrado de disco BitLocker Disc, que está estrechamente interconectada con módulos de confianza (Fig. P38). Acerca de la configuración de BitLocker en Windows Server 2008 y Vista (Fig. P39, P40) se puede encontrar aquí:



Higo. P38. Componentes de BitLocker
Higo. P39. El cifrado BITLOCKER está desactivado: el módulo TPM no está instalado ni desactivado (en BIOS)
Higo. P40. Encriptación de volumen completo y circuito de interacción TPM en Windows

Sistemas listos con soporte TPM

Las computadoras TPM terminadas han estado en libertad de venta: tanto computadoras portátiles como computadoras de escritorio. Típicamente, tales sistemas son producidos por los famosos fabricantes como HP, por lo que su precio puede ser ligeramente sobreestimado (recargo "para la marca").

Aquellos que deseen ahorrar pueden ser recomendados para comprar "hierro" con soporte para TPM y recoger todos los suyos. Las placas base necesarias son emitidas por muchos fabricantes, como Asus (M2N32-SLI PREMIUM), MSI (Q35MDO), etc. (Fig. P41).




Higo. P41. Asus M2N32-SLI Placa base premium (con soporte TPM)

¿Por qué necesita TPM?

Primero, TPM es un aumento en la seguridad general del sistema y un adicional, implementado en el nivel de protección de protección contra virus, "Troján" y otros espíritus malignos de la computadora. Y en la seguridad, especialmente en la empresa, como sabemos, no vale la pena ahorrar.

En segundo lugar, TPM es datos cifrados en el disco duro. TPM le permite encontrar un compromiso entre la seguridad y el rendimiento.

Dado que el cifrado se lleva a cabo en el nivel de hardware, prácticamente no se refleja en el rendimiento.

En tercer lugar, con TPM, puede hacer sin una contraseña, utilizando la huella digital del usuario en lugar de él. De acuerdo, una solución bastante efectiva. Ayer, vimos tales sistemas en las medias películas fantásticas, y hoy ya es realidad.

TPM no es panacea

Es importante recordar que las TPM no son un medio universal y no una panacea de toda la adversidad de la computadora. Nadie canceló un buen antivirus y firewall. TPM se desarrolló más para proteger los intereses de los gigantes de software: para no permitir que el usuario lanzará un sistema sin licencia. Desde este punto de vista, aún no está claro, TPM es bueno o malo, dado la cantidad de programas sin licencia en nuestras expansiones. Veamos la verdad en los ojos, mucho software pirata.

Además, no hay necesidad de olvidar el factor humano. Una persona puede decir intencionalmente la contraseña a su sistema o escribirlo en algún lugar en un papel amarillo que se pegue al monitor, o simplemente instale una contraseña muy simple que sea fácil de recoger. En esta situación, TPM definitivamente no ayudará. El software llega al rescate, a saber, los sistemas de control de acceso, pero esta es otra historia.

Notas:

Antes de comenzar a leer este libro, vale la pena hablar de las unidades de medición de información. La unidad de medición de información básica es un poco. El bit puede contener uno de los dos valores, o 0, o 1. ocho bits de bytes. Este número de bits es suficiente para codificar 1 símbolo usando cero y unidades. Es decir, en una patada se coloca en 1 símbolo de la información: la letra, el dígito, etc. 1024 bytes: este es un kilobyte (KB) y 1024 kilobytes son 1 megabyte (MB). 1024 Megabytes son 1 gigabyte (GB) y 1024 Gigabytes son 1 Terabyte (TB).

Tenga en cuenta: es 1024, y no 1000. ¿Por qué se seleccionó 1024? Debido a que la computadora utiliza un sistema de números binarios (solo hay 2 valores - 0 y 1), 2 en el 10º grado, esto es 1024.

No siempre, pero a menudo la letra grande "B" al especificar la unidad de medición de la información significa "byte", y el pequeño "bit". Por ejemplo, 528 MB es de 528 megabits, si traduce este valor a Megabytes (solo divida por 8), luego se realizarán 66 megabytes (66 MB).

2.5-Inch Momentus 5400 Fde.2 Duro (cifrado de disco completo) de Seagate. Suministrados como computadoras portátiles ASI C8015 + (el costo de una computadora portátil es de aproximadamente $ 2,200). Winchester tiene un sistema de cifrado dinámico incorporado con aceleración de hardware y soporte TPM. Además, el lector de huellas digitales se incluye en la computadora portátil, lo que lo hace aproximadamente un 20% más caro que una computadora portátil regular con la misma configuración. El tamaño del disco duro de Momentus puede ser de 80, 100, 120 y 160 GB. Se utiliza la interfaz SATA 3 GB / S.

La característica principal de Momentus Fde.2 es cifrar / descifrar la información grabable y legible utilizando el algoritmo AES con una clave de 128 bits en el firmware (firmware) DriveTrust. Los datos de cifrado se realizan completamente transparentes, es decir, imperceptiblemente para el usuario. En la información abierta (sin cifrar), la información está solo en aplicaciones. En el disco duro, los datos se almacenan solo en forma cifrada.

Típicamente, el proceso de cifrado del programa reduce significativamente el rendimiento del sistema (que trabajó con PGPDISK, entiende de qué se trata). Pero como en el caso de Momentus Fde.2, el cifrado se lleva a cabo en el nivel de hardware, aumenta la carga del procesador central solo solo un porcentaje.

Al cargar el sistema TPM, el usuario debe ingresar su contraseña. La contraseña es necesaria no solo para continuar la descarga, sino también para descifrar datos. Anteriormente, también era posible instalar una contraseña en la configuración, sin la cual no es posible el sistema operativo. Pero podría eliminar el disco duro y conectarlo a otra computadora. Si no se han utilizado algún agente criptográfico, entonces leer información del disco duro no imaginó problemas. En el caso de TPM, incluso si elimina el HDD y se conecta a otra computadora, no podrá leer la información porque está encriptada, y no sabe la contraseña para descifrarla.

¿Y si el usuario ha olvidado la contraseña? Luego puede aplicar la contraseña principal. Y si la contraseña principal se olvida (o simplemente no lo conoces), entonces ...

Además, se proporciona la función BRYPTO-BORASE, que está diseñada para destruir todos los datos del disco duro. Dicha operación es necesaria al escribir el disco duro o al transmitirlo a otro usuario.