Panduan langkah demi langkah untuk penggunaan layanan TPM di Windows Vista. Konsep Modul Platform Tepercaya (TPM): Tampilan praktis pertama dari konektor TPM

Modul platform tepercaya.

Dalam Komputasi Teknologi Modul platform tepercaya. (TPM) - Nama spesifikasi yang menggambarkan cryptoprocessor di mana tombol kriptografi disimpan untuk melindungi informasi, serta nama umum dari implementasi spesifikasi yang ditentukan, misalnya, dalam bentuk "chip TPM" atau " Perangkat Keamanan TPM "(Dell). Sebelumnya, yang disebut "Chip Fritz" (mantan Senator Ernest "Fritz" terkenal dengan dukungan panasnya untuk sistem perlindungan hak cipta untuk informasi digital, DRM). Spesifikasi TPM telah dikembangkan oleh Grup Komputasi Tepercaya (Bahasa Inggris). Versi saat ini dari spesifikasi TPM - 1.2 Revisi 116, edisi 3 Maret 2011.

Ulasan singkat

Modul platform tepercaya (TPM), cryptoprocessor, memberikan sarana pembuatan kunci enkripsi yang aman yang mampu membatasi penggunaan tombol (baik untuk tanda tangan dan untuk enkripsi / dekripsi), dengan tingkat ketidakcocokan yang sama dengan generator angka acak. Juga, modul ini mencakup fitur-fitur berikut: sertifikasi jarak jauh, pengikatan, dan penyimpanan aman yang andal. Sertifikasi jarak jauh menciptakan koneksi perangkat keras, unduhan sistem, dan konfigurasi host (komputer OS), yang memungkinkan pihak ketiga (seperti toko musik digital) untuk memeriksa bahwa perangkat lunak, atau musik yang dimuat dari toko belum diubah atau disalin oleh pengguna (lihat tszzz). Cryptoprocessor mengenkripsi data dengan cara ini sehingga mereka hanya dapat didekripsi di komputer di mana mereka dienkripsi, menjalankan perangkat lunak yang sama. Mengikat mengenkripsi data menggunakan kunci konfirmasi TPM adalah kunci RSA unik yang direkam dalam chip dalam proses produksinya, atau kunci lain yang dipercaya.

Modul TPM dapat digunakan untuk mengkonfirmasi keaslian perangkat keras. Karena setiap chip TPM unik untuk perangkat tertentu, memungkinkan untuk mengautentikasi platform secara unik. Misalnya, untuk memverifikasi bahwa sistem yang tersedia akses adalah sistem yang diharapkan.

Arsitektur TPM.

Algoritma pelindung berikut diimplementasikan dalam arsitektur chip:

  • manajemen memori yang dilindungi,
  • ban enkripsi dan data,
  • perisai aktif.

Perisai aktif memungkinkan chip untuk mendeteksi pengujian listrik dan, jika perlu, memblokir chip. Selain itu, dalam pembuatan TPM, langkah-langkah teknologi non-standar digunakan, seperti membingungkan topologi lapisan IP. Langkah-langkah ini secara signifikan diperumit dengan meretas chip, meningkatkan biaya peretasan, yang mengarah pada penurunan potensi penyusup.

Input / Output (ENG. I / O)

Komponen ini mengontrol aliran informasi di bus. Mengirim pesan ke komponen yang sesuai. Komponen I / O memasuki kebijakan akses yang terkait dengan fungsi TPM.

Prosesor kriptografi

Operasi kriptografi di dalam TPM. Operasi ini meliputi:

  • Generasi kunci asimetris (RSA);
  • Enkripsi / dekripsi asimetris (RSA);
  • Hashing (SHA-1);
  • Generasi angka acak.

TPM menggunakan kemungkinan-kemungkinan ini untuk menghasilkan urutan acak, menghasilkan kunci asimetris, tanda tangan digital dan privasi data yang disimpan. Juga TPM mendukung enkripsi simetris untuk kebutuhan internal. Semua tombol yang tersimpan berlaku harus sesuai dengan kunci RSA 2048 bit.

Memori Non-Volatile (Eng. Penyimpanan Non-Volatile)

Digunakan untuk menyimpan kunci konfirmasi, tombol root (kunci root penyimpanan bahasa Inggris, SRK), data otorisasi, berbagai bendera.

Kunci Konfirmasi (Eng. Kunci Endorsement, EK)

RSA Keys Generator (Eng. RSA Generator Kunci)

Menciptakan sepasang kunci RSA. TCG tidak memaksakan persyaratan minimum untuk waktu pembangkit utama.

RSA Device (Eng. Mesin RSA)

Digunakan untuk tanda tangan digital dan enkripsi. Tidak ada batasan pada implementasi algoritma RSA. Produsen dapat menggunakan teorema Cina tentang sisa-sisa atau metode lain. Panjang utama minimum yang disarankan adalah 2048 bit. Nilai pameran terbuka harus.

Platform tepercaya (eng. Platform tepercaya)

Dalam sistem TCG, akar kepercayaan adalah komponen yang perlu dipercaya. Satu set lengkap akar kepercayaan memiliki fungsionalitas minimum yang diperlukan untuk menggambarkan platform, yang mempengaruhi kekuatan pengacara pada platform ini. Ada tiga akar kepercayaan: root kepercayaan untuk pengukuran (RTM), root kepercayaan untuk penyimpanan (RTS) dan root kepercayaan untuk pesan (RTR). RTM adalah mekanisme komputasi yang menghasilkan pengukuran integritas platform yang andal. RTS adalah mekanisme komputasi yang mampu menjaga nilai integritas hashing. RTR - mekanisme yang secara andal melaporkan informasi yang disimpan dalam RTS. Data pengukuran menggambarkan sifat dan karakteristik komponen yang diukur. HASI dari pengukuran ini - "snapshot" dari keadaan komputer. Penyimpanan mereka dilakukan dengan fungsi RTS dan RTR. Membandingkan hash dari nilai-nilai yang diukur dengan keadaan platform tepercaya, Anda dapat berbicara tentang integritas sistem.

Aplikasi yang mungkin

Autentikasi

TPM dapat dianggap sebagai token (token keamanan) dari otentikasi generasi berikutnya. Cryptoprocessor mendukung otentikasi dan pengguna, dan komputer, menyediakan akses ke jaringan hanya oleh pengguna dan komputer yang berwenang. Ini dapat digunakan, misalnya, ketika melindungi email berdasarkan enkripsi atau tanda tangan menggunakan sertifikat digital yang terkait dengan TPM. Juga, kegagalan kata sandi dan penggunaan TPM memungkinkan Anda membuat model otentikasi yang lebih kuat untuk akses kabel, nirkabel dan VPN.

Perlindungan data dari pencurian

Ini adalah tujuan utama "wadah yang dilindungi". Perangkat sendi diri yang diterapkan berdasarkan spesifikasi grup komputasi tepercaya membuat enkripsi internal dan kontrol akses ke data. Perangkat tersebut menyediakan enkripsi disk penuh, melindungi data saat kehilangan atau mencuri komputer.

Manfaat:

  • Peningkatan performa
Enkripsi perangkat keras memungkinkan Anda untuk beroperasi dengan semua rentang data tanpa kehilangan kinerja.
  • Amplifikasi Keamanan.
Enkripsi selalu diaktifkan. Selain itu, tombol dihasilkan di dalam perangkat dan tidak pernah meninggalkannya.
  • Biaya biaya rendah
Tidak ada modifikasi sistem operasi, aplikasi, dll. Tidak diperlukan. Untuk enkripsi, sumber daya prosesor pusat tidak digunakan.

Perspektif besar memiliki sekelompok TPM + Bitlocker. Solusi ini memungkinkan Anda untuk secara transparan dari mengenkripsi seluruh disk.

Kontrol Akses Jaringan (NAC)

TPM dapat mengkonfirmasi keaslian komputer dan bahkan kinerjanya bahkan sebelum menerima akses jaringan dan, jika perlu, masukkan komputer ke karantina.

Perlindungan Perlindungan

Sertifikasi Kode Program akan melindungi permainan dari Cheaterism, dan program sensitif seperti pelanggan perbankan dan pos - dari modifikasi yang disengaja. Segera, penambahan "Trojan Horse" akan dihentikan ke installer messenger segar.

Salin Perlindungan

Perlindungan salinan didasarkan pada rantai seperti itu: Program ini memiliki sertifikat yang menyediakannya (dan hanya itu) akses ke tombol decoding (yang juga disimpan dalam TPM). Ini memberikan perlindungan dari penyalinan yang tidak dapat melewati perangkat lunak.

Penjualan

Produsen

Sudah lebih dari 300 "000" 000 komputer dilengkapi dengan chip TPM. Di masa depan, TPM dapat diinstal pada perangkat seperti ponsel. Mikrokontroler TPM diproduksi oleh perusahaan-perusahaan berikut:

  • Sinosun
  • Nuvoton,

Kritik

Modul platform tepercaya dikritik untuk nama (kepercayaan - Inggris. kepercayaan. - Selalu saling menguntungkan, sementara pengguna, pengembang TPM dan jangan percaya) dan untuk pelanggaran kebebasan yang terkait dengannya. Untuk pelanggaran ini, perangkat sering disebut Komputasi berbahaya ("Perhitungan berbahaya").

Kehilangan komputer "kepemilikan"

Pemilik komputer tidak dapat lagi melakukan apa pun dengannya apa pun, melewati bagian dari hak-hak produsen perangkat lunak. Secara khusus, TPM dapat mengganggu (karena kesalahan dalam perangkat lunak atau solusi pengembang yang disengaja):

  • mentransfer data ke komputer lain;
  • bebas memilih perangkat lunak untuk komputer Anda;
  • memproses data yang ada oleh program yang tersedia.

Hilangnya anonimitas

Cukup untuk mengingat perselisihan tentang jumlah identifikasi prosesor Pentium III untuk memahami apa yang dapat disebabkan oleh pengidentifikasi komputer yang dapat dibaca dan tidak berubah.

Penindasan pesaing

Program yang telah menjadi pemimpin industri (sebagai AutoCAD, Microsoft Word atau Adobe Photoshop) dapat mengatur enkripsi ke file-nya, sehingga tidak mungkin untuk mengakses file-file ini melalui program-program produsen lain, sehingga menciptakan ancaman potensial untuk kompetisi gratis dalam aplikasi perangkat lunak aplikasi.

Pemecahan

Ketika kerusakan TPM, wadah yang dilindungi tidak dapat diakses, dan data di dalamnya tidak biasa. TPM praktis hanya jika ada sistem cadangan yang kompleks - tentu saja, untuk memastikan kerahasiaan, itu harus memiliki TPMS sendiri.

Peretasan

Di Black Hat 2010 Computer Security Conference diumumkan peretasan chip infineon Sle66 CL PE, diproduksi oleh spesifikasi TPM. Chip ini digunakan di komputer, peralatan konsol satelit dan permainan. Mikroskop elektronik digunakan untuk meretas (bernilai sekitar $ 70.000). Shell chip dilarutkan dengan asam, jarum terkecil digunakan untuk mencegat perintah. Infineon berpendapat bahwa mereka tahu tentang kemungkinan chip peretasan fisik. Borchert (Borchert), Wakil Presiden Perusahaan, meyakinkan bahwa peralatan mahal dan kompleksitas teknis peretasan tidak mewakili bahaya untuk sebagian besar pengguna chip.

Panduan langkah demi langkah ini memberikan instruksi yang diperlukan untuk menggunakan modul platform tepercaya, TPM (TPM) di lingkungan pengujian.

Apa itu layanan TPM?

Layanan TPM adalah satu set fitur baru yang tersedia di Microsoft®Windows Vista ™ dan Windows Server® "Longhorn". Layanan ini digunakan untuk mengelola modul TPM, memastikan keamanan komputer Anda. Arsitektur Layanan TPM menciptakan dasar untuk berinteraksi dengan perlindungan perangkat keras dengan memberikan berbagi dengan modul TPM di tingkat aplikasi.

Apa modul TPM?

Modul platform tepercaya (TPM) adalah sebuah chip yang ditujukan untuk implementasi fungsi-fungsi terkait keselamatan dasar, terutama menggunakan kunci enkripsi. Modul TPM biasanya dipasang pada desktop atau motherboard komputer portabel dan berinteraksi dengan sisa komponen sistem dengan menggunakan bus sistem.

Komputer yang dilengkapi dengan modul TPM memiliki kemampuan untuk membuat kunci kriptografi dan mengenkripsi mereka sedemikian rupa sehingga mereka hanya dapat didekripsi oleh modul TPM. Proses ini, sering disebut "menyembunyikan" kunci ("membungkus" kunci) atau tombol "mengikat" ("mengikat" tombol), membantu melindungi kunci dari pengungkapan. Dalam setiap modul TPM, ada kunci tersembunyi utama yang disebut tombol penyimpanan root (tombol Root Storage, SRK), yang disimpan dalam modul TPM itu sendiri. Bagian tertutup dari kunci yang dibuat dalam TPM tidak akan pernah tersedia untuk komponen lain dari sistem, perangkat lunak, proses atau pengguna.

Komputer yang dilengkapi dengan modul TPM juga dapat membuat kunci yang tidak hanya akan dienkripsi, tetapi juga terkait dengan konfigurasi sistem tertentu. Jenis kunci ini dapat didekripsi hanya jika karakteristik platform tempat ia mencoba mendekripsi, bertepatan dengan yang dimana kunci ini dibuat. Proses ini disebut "penyegelan" kunci dalam modul TPM. Dekripsi disebut "pencetakan" ("unseungge"). Modul TPM juga dapat menyegel dan mencetak data yang dibuat di luar modul TPM. Saat menggunakan kunci yang disegel dan perangkat lunak tersebut seperti BitLocker ™ Drive Encryption, Anda dapat mengaktifkan pemblokiran data hingga ditransfer ke komputer dengan konfigurasi perangkat keras atau perangkat lunak yang sesuai.

Saat menggunakan modul TPM, bagian tertutup dari pasangan kunci disimpan keluar dari memori, akses yang memiliki sistem operasi. Kunci dapat disegel oleh modul TPM, sedangkan keputusan yang tepat tentang apakah sistem dapat diandalkan, akan diambil sebelum tombol dicetak dan siap digunakan. Karena modul TPM untuk pemrosesan instruksi menggunakan perangkat lunak dan skema logika yang disematkan sendiri, pekerjaannya tidak tergantung pada sistem operasi. Ini memastikan perlindungannya terhadap kemungkinan kerentanan perangkat lunak eksternal.

Siapa panduan ini untuk siapa?

Manual ini ditujukan untuk:

  • Spesialis IT terlibat dalam perencanaan dan analisis infrastruktur informasi, mengevaluasi fungsionalitas produk.
  • Spesialis yang melaksanakan pengenalan produk awal.
  • Arsitek keamanan yang bertanggung jawab atas implementasi konsep komputasi yang dapat dipercaya.

Dalam manual ini

Persyaratan untuk penggunaan layanan TPM

Kami menyarankan Anda terlebih dahulu menjalankan semua langkah yang dijelaskan dalam manual ini di lingkungan pengujian. Manual ini harus dianggap sebagai dokumen terpisah. Seharusnya tidak dipandang sebagai manual komprehensif untuk penyebaran fitur-fitur tertentu Windows Vista atau Windows Server "Longhorn" dan menggunakannya tanpa menggunakan dokumentasi yang menyertainya yang disajikan di bagian tersebut .

Persiapan lingkungan pengujian untuk mempelajari pekerjaan layanan TPM

Untuk mengeksplorasi pekerjaan layanan TPM, diperlukan media tes, yang terdiri dari komputer yang terhubung ke jaringan yang terisolasi melalui hub biasa atau switcher tingkat kedua. Komputer harus bekerja menjalankan sistem operasi Windows Vista dan dilengkapi dengan modul yang kompatibel dengan TPM (versi 1.2), serta BIOS yang sesuai dengan spesifikasi Grup Komputasi Tepercaya (TCG). Juga disarankan untuk menggunakan drive USB portabel. Saat mengatur jaringan untuk lingkungan pengujian, gunakan rentang pribadi alamat IP.

Skenario utama untuk menggunakan layanan TPM

Manual ini membahas skenario layanan TPM berikut:

Catatan

Tiga skenario yang disajikan dalam manual ini dirancang untuk membantu administrator dalam menguasai kemampuan yang disediakan oleh layanan TPM di Windows Vista. Skenario-skenario ini berisi informasi dasar dan menjelaskan prosedur yang diperlukan sehingga administrator dapat memulai proses mengkonfigurasi dan menyebarkan jaringan komputer yang dilengkapi dengan modul TPM. Informasi, serta prosedur yang diperlukan untuk konfigurasi tambahan atau diperpanjang layanan TPM, tidak termasuk dalam manual ini.

Skenario 1. Inisialisasi Modul TPM

Script ini menjelaskan secara rinci prosedur inisialisasi modul TPM di komputer. Proses inisialisasi mencakup dimasukkannya modul TPM dan penunjukan pemiliknya. Script ini ditulis untuk administrator lokal yang bertanggung jawab untuk mengatur komputer yang dilengkapi dengan modul TPM.

Terlepas dari kenyataan bahwa di Windows Vista, inisialisasi jarak jauh dari modul TPM didukung, biasanya kehadiran pribadi administrator diperlukan untuk melakukan operasi ini. Jika komputer disertakan dengan modul TPM yang sudah diinisialisasi, kehadiran pribadi tidak diperlukan. Informasi tentang inisialisasi jarak jauh, serta prosedur yang diperlukan untuk ini tidak termasuk dalam manual ini. Layanan TPM melibatkan kelas WMI yang memungkinkan Anda untuk melakukan prosedur yang dijelaskan dalam bagian ini menggunakan skrip. Informasi tentang penulisan skrip untuk melakukan tugas-tugas yang ditentukan juga tidak termasuk dalam manual ini.

Langkah-langkah inisialisasi modul TPM

Untuk menginisialisasi modul TPM yang dipasang di komputer Anda, Anda harus melakukan langkah-langkah berikut:

Langkah 1. Inisialisasi Modul TPM

Untuk membuat modul TPM dapat melindungi komputer Anda, itu harus diinisialisasi terlebih dahulu. Bagian ini menjelaskan prosedur inisialisasi modul TPM yang dipasang di komputer.

Komputer yang memenuhi persyaratan Windows Vista dilengkapi dengan fungsionalitas BIOS yang menyederhanakan inisialisasi modul TPM melalui Wisaya Inisialisasi TPM. Ketika Anda memulai Wizard Inisialisasi TPM, Anda dapat menentukan apakah modul TPM telah dilengkapi dengan komputer, diinisialisasi, atau tidak.

Prosedur yang dijelaskan di bawah ini akan memandu Anda di semua langkah inisialisasi modul TPM menggunakan Wisaya Inisialisasi TPM.

Catatan
Untuk melakukan prosedur yang dijelaskan di bawah ini, Anda harus masuk pada komputer yang dilengkapi dengan modul TPM dengan hak administrator.

Untuk memulai Wisaya Inisialisasi TPM dan inisialisasi Modul TPM, ikuti langkah-langkah ini:

    Di menu Mulailahpilih Semua program, kemudian Standar, kemudian Melakukan.

    Memasukkan tpm.msc. di bidang Buka, lalu tekan tombol MEMASUKKAN.

    Memproses "Sumber informasi tambahan"

    Konsol muncul Mengelola Modul Platform Tepercaya (TPM) di komputer lokal.

    Di menu Bertindakpilih Tim. Inisialisasi TPM. . Pada saat yang sama, wizard inisialisasi TPM akan diluncurkan.

tekan tombolnya Untuk me-restart komputer, Setelah itu, ikuti instruksi pada layar yang akan mengeluarkan BIOS.
Catatan. Pesan yang ditampilkan oleh BIOS, serta tindakan pengguna yang diperlukan mungkin berbeda tergantung pada produsen peralatan.

Setelah me-reboot, pemberitahuan akan ditampilkan di layar untuk menanggapi kehadiran pribadi pengguna mana. Ini memastikan bahwa modul TPM mencoba menginisialisasi pengguna, dan bukan perangkat lunak berbahaya.

Jika kotak dialog muncul Kontrol Akun PenggunaPastikan tindakan yang diusulkan sesuai dengan apa yang Anda minta, lalu klik Memproses. Untuk informasi lebih lanjut, lihat bagian tersebut "Sumber informasi tambahan"terletak di akhir dokumen ini.

Klik Secara otomatis menyiapkan modul TPM untuk tujuan pemilik (disarankan).

Langkah 2. Tujuan pemilik modul TPM

Sebelum modul TPM dapat digunakan untuk memastikan keamanan komputer Anda, Anda harus menetapkan pemilik modul ini. Saat menugaskan pemilik Modul TPM, Anda perlu menentukan kata sandi. Kata sandi adalah jaminan bahwa hanya pemilik resmi modul TPM yang dapat mengakses dan mengelolanya. Kata sandi juga digunakan untuk menonaktifkan modul TPM jika Anda tidak lagi ingin menggunakannya, serta untuk membersihkan modul TPM jika komputer siap untuk dibuang.

Prosedur berikut akan memungkinkan Anda untuk menjadi pemilik modul TPM.

Langkah-langkah yang dijelaskan di bawah ini akan memeluk Anda melalui prosedur penugasan pemilik modul TPM menggunakan Wisaya Inisialisasi TPM.

Catatan

Untuk menetapkan pemilik Modul TPM, ikuti langkah-langkah ini.

Perhatian. Jangan kehilangan kata sandi Anda. Dalam hal kehilangan kata sandi, Anda tidak akan dapat menghasilkan perubahan administratif apa pun hingga Anda membersihkan modul TPM.

Script 2. Mematikan dan Membersihkan Modul TPM

Dalam skenario ini, dua tugas umum dipertimbangkan dengan administrator mana harus ditemui selama perubahan dalam konfigurasi atau pembuangan komputer yang dilengkapi dengan modul TPM. Tugas-tugas ini adalah modul TPM dan pembersihannya.

Modul TPM Shutdown.

Beberapa administrator dapat memutuskan bahwa tidak pada setiap komputer di jaringan mereka yang dilengkapi dengan modul TPM, perlindungan tambahan diperlukan bahwa modul ini menyediakan. Dalam situasi seperti itu, disarankan untuk memastikan bahwa modul TPM pada masing-masing komputer dinonaktifkan. Prosedur yang disajikan di bawah ini akan memandu Anda melalui seluruh modul TPM.

Catatan
Untuk mematikan modul TPM, kehadiran pribadi administrator tidak diperlukan.

Untuk memenuhi prosedur yang dijelaskan di bawah ini, Anda perlu masuk pada komputer yang dilengkapi dengan modul TPM dengan administrator lokal.

Untuk mematikan modul TPM, ikuti langkah-langkah ini.

    Di menu Mulailahmemilih gugus kalimat Semua program, kemudian Standar, kemudian Melakukan.

    Memasukkan tpm.msc. di bidang Bukadan tekan tombol MEMASUKKAN. Konsol muncul

    Jika kotak dialog muncul Kontrol Akun PenggunaPastikan tindakan yang diusulkan sesuai dengan apa yang Anda minta, lalu klik Memproses. Untuk informasi lebih lanjut, lihat bagian tersebut "Sumber informasi tambahan"terletak di akhir dokumen ini.

    Di menu Tindakanpilih Tim. Nonaktifkan TPM..

    Di kotak dialog Matikan peralatan keselamatan untuk modul platform tepercayakamuambil kata sandi dan metode input modul TPM:

    Jika Anda memiliki media yang dapat dilepas yang sebelumnya Anda simpan kata sandi pemilik modul TPM, masukkan ke pembaca dan tekan. Di kotak dialog, klik Gambaran, Buka, Setelah itu, klik.

    Masukkan kata sandi Anda (termasuk tanda hubung) dan klik Nonaktifkan modul platform tepercaya.

    Tidak ada pemilik kata sandi tpmdan ikuti instruksi untuk mematikan modul TPM tanpa memasukkan kata sandi.

Catatan. Untuk mematikan modul TPM tanpa memasukkan kata sandi pemilik TPM dan melakukan sejumlah tugas terkait administratif, kehadiran pribadi administrator diperlukan di dekat komputer.

Keadaan modul TPM ditampilkan di area tersebut kondisikonsol manajemen TPM.

Membersihkan Modul TPM

Pembersihan modul TPM mengarah pada pembatalan modul TPM dan pemutusan modul TPM. Tindakan ini harus dilakukan jika komputer dilengkapi dengan modul TPM harus dibuang, atau ketika kata sandi pemilik TPM hilang. Prosedur berikut akan memandu Anda melalui seluruh proses pembersihan modul TPM.

Catatan
Untuk membersihkan modul TPM, kehadiran pribadi administrator tidak diperlukan.

Untuk memenuhi prosedur yang dijelaskan di bawah ini, Anda perlu masuk pada komputer yang dilengkapi dengan modul TPM dengan administrator lokal.

Untuk membersihkan modul TPM, ikuti langkah-langkah ini.

    Di menu Mulailahpilih Semua program, kemudian Standar, kemudian Melakukan.

    Memasukkan tpm.msc. di bidang Bukadan tekan tombol MEMASUKKAN. Konsol muncul Mengelola modul platform tepercaya (TPM) pada komputer lokal.

    Jika kotak dialog muncul Kontrol Akun PenggunaPastikan tindakan yang diusulkan sesuai dengan apa yang Anda minta, lalu klik Memproses. Untuk informasi lebih lanjut, lihat bagian tersebut "Sumber informasi tambahan"terletak di akhir dokumen ini.
    Perhatian. Membersihkan modul TPM akan menghasilkan semua pengaturannya akan kembali ke pabrik, dan modul itu sendiri akan dinonaktifkan. Pada saat yang sama, Anda akan kehilangan semua kunci yang dibuat, serta data yang telah dilindungi oleh tombol-tombol ini.

    Di menu Tindakanpilih Tim. Bersih TPM.. Jika modul TPM dinonaktifkan, ikuti prosedur yang dijelaskan di bagian "Langkah 1. Inisialisasi modul TPM", Untuk menginisialisasi ulang sebelum membersihkan.

    Di kotak dialog Bersihkan peralatan keselamatan untuk modul platform tepercayapilih Metodeinput kata sandi dan membersihkan modul TPM:

    Jika Anda memiliki media yang dapat dilepas di mana Anda sebelumnya menyimpan kata sandi pemilik TPM, masukkan ke pembaca dan klik Ada file arsip dengan kata sandi pemilik TPM. Di kotak dialog Pilih file cadangan dengan kata sandi modul platform tepercaya tekan tombolnya Gambaran , Untuk memilih file dengan Extension.tpm, yang terletak di media yang dapat dilepas, lalu klik Buka, lalu klik.

    Dengan tidak adanya media yang dapat dilepas dengan kata sandi yang disimpan, pilih Masukkan pemilik kata sandi secara manual TPM. Di kotak dialog yang muncul dialog Masukkan kata sandi Anda untuk pemilik modul platform tepercaya Masukkan kata sandi (termasuk tanda hubung) dan klik Modul platform tepercaya yang jelas.

    Jika Anda tidak tahu kata sandi pemilik TPM, pilih Tidak ada pemilik kata sandi tpm Dan ikuti instruksi untuk membersihkan modul TPM tanpa memasukkan kata sandi.

Catatan. Untuk membersihkan modul TPM dan melakukan sejumlah tugas yang terkait dengan administrasi, tanpa perlu memasukkan kata sandi pemilik TPM, membutuhkan kehadiran pribadi administrator di dekat komputer.

Keadaan modul TPM ditampilkan di lapangan. kondisi Konsol manajemen TPM.

Skenario 3. Memblokir dan izin untuk menggunakan perintah TPM

Skrip ini menjelaskan prosedur dan izin pemblokiran untuk menggunakan perintah modul TPM. Tugas ini administrator lokal dapat melakukan selama konfigurasi awal komputer yang dilengkapi dengan modul TPM, atau selama perubahan konfigurasinya. Perintah modul TPM dapat dikontrol melalui anak perusahaan dari konsol kontrol TPM. Tim manajemen. Di sini, administrator dapat melihat perintah yang tersedia untuk digunakan dengan modul TPM. Mereka juga dapat memblokir dan memungkinkan penggunaan perintah-perintah ini dalam batasan yang diberlakukan oleh pengaturan kebijakan grup dan pengaturan komputer lokal. Prosedur berikut akan memeluk Anda melalui seluruh proses pemblokiran dan memungkinkan penggunaan perintah modul TPM.

Catatan
Untuk memenuhi prosedur yang dijelaskan di bawah ini, Anda perlu masuk pada komputer yang dilengkapi dengan modul TPM dengan administrator lokal.

Untuk memblokir dan mengaktifkan penggunaan perintah TPM, ikuti langkah-langkah ini.

    Di menu Mulailahpilih Semua program, kemudian Standar, kemudian Melakukan.

    Jika kotak dialog muncul Kontrol Akun PenggunaPastikan tindakan yang diusulkan sesuai dengan apa yang Anda minta, lalu klik Memproses. Untuk informasi lebih lanjut, lihat bagian tersebut "Sumber informasi tambahan"Terletak di akhir dokumen ini

    Memasukkan tpm.msc. di bidang Buka, lalu tekan tombol MEMASUKKAN.

    Di pohon konsol, perluas node Tim manajemen. Ini akan menampilkan daftar perintah TPM.

    Pilih perintah dari daftar yang ingin Anda blokir atau aktifkan untuk digunakan.

    Di menu Tindakanklik Blokir perintah yang dipilihatau Biarkan eksekusi perintah yang dipilihtergantung pada kebutuhannya.

Catatan. Administrator lokal tidak dapat mengizinkan perintah TPM diblokir oleh kebijakan grup. Perintah TPM yang ditentukan secara default dalam daftar MMC Locked List juga akan diizinkan hingga perubahan yang sesuai akan dilakukan pada kebijakan grup yang membatalkan daftar kunci default.

Registrasi dan Review Kesalahan

Karena layanan TPM menyediakan fitur baru di Windows Server "Longhorn" dan Windows Vista, kami sangat tertarik untuk mendapatkan ulasan Anda tentang bekerja dengan mereka, tentang kemungkinan masalah yang harus Anda hadapi, serta kegunaan dari dokumentasi yang tersedia.

Ketika Anda mendeteksi kesalahan, ikuti instruksi di situs web Microsoft Connect. Kami juga tertarik untuk mendapatkan saran dan ulasan Anda tentang layanan TPM.

Umpan balik dan pertanyaan umum tentang layanan TPM Anda dapat mengarahkan alamat email berikut: mailto: [Dilindungi Email]? Subjek \u003d Windows Vista Beta 2 Layanan Modul Platform Tepercaya Panduan langkah demi langkah.

SUMBER INFORMASI TAMBAHAN

Sumber di bawah ini memberikan informasi tambahan tentang layanan TPM:

    Untuk dukungan, lihat situs web Microsoft Connect.

    Untuk mendapatkan akses ke TPM Service Newsgroups, ikuti instruksi yang disajikan di situs web Microsoft Connect.

    Program enkripsi disk BitLocker didukung oleh blog yang terletak di situs web Microsoft Technet.

Dukungan dalam Kerangka Program Mitra Khusus Program Adopsi Teknologi

Jika Anda seorang penguji beta dan ikut serta dalam program afiliasi khusus untuk penerapan Teknologi Adopsi Teknologi (TAP), Anda juga dapat mengajukan bantuan kepada perwakilan pengembang Microsoft dari Grup Pengembang Microsoft.

Modul platform tepercaya (modul platform tepercaya) adalah chip kecil yang berfungsi untuk melindungi data dan telah digunakan di komputer, konsol, smartphone, tablet, dan penerima. Saat ini, chip TPM dilengkapi dengan sekitar miliar perangkat, dan 600 juta di antaranya adalah PC Office.

Sejak tahun 2001, pendukung "teori konspirasi" mulai mempertimbangkan keripik sebagai alat kontrol, memungkinkan untuk menduga membatasi hak-hak pengguna: secara teoritis, chip TPM dapat digunakan, misalnya, untuk membatasi penyalinan ilegal film dan musik. Namun , Selama 12 tahun terakhir belum ada kasus seperti itu.. Selain itu, Windows menggunakan modul serupa untuk memuat dan mengenkripsi data hard disk melalui BitLocker. Dengan demikian, TPM memberikan keuntungan dalam pertarungan melawan kerusakan data jahat dan pencurian.

Terlepas dari semua ini, spesifikasi versi 2.0 telah menarik banyak perhatian, karena sekarang chip TPM berjalan "secara default" (sebelumnya pengguna perlu mengaktifkannya secara independen). Rupanya, akan segera sulit ditemukan pada penjualan tanpa TPM 2.0, karena Microsoft telah mengubah kriteria sertifikasi untuk Windows. Sejak 2015, standar TPM 2.0 adalah wajib untuk semua, jika tidak, pabrikan perangkat keras tidak akan menerima konfirmasi sertifikasi.

Manajer TPM di jendela panel kontrol Windows menampilkan status dan versi chip TPM

TPM Chip menjamin keamanan OS

Cara paling efektif untuk melindungi sistem, tidak termasuk kemungkinan penetrasi peretas, adalah penggunaan chip perangkat keras TPM. Ini adalah "komputer di komputer" kecil ": modul tepercaya dengan prosesor, RAM, drive, dan antarmuka input / output.

Tugas utama TPM adalah untuk menyediakan sistem operasi dengan layanan aman terjamin. Misalnya, toko chip TPM cryptocluts digunakan untuk mengenkripsi data pada hard disk. Selain itu, modul mengkonfirmasi identitas seluruh platform dan memeriksa sistem untuk kemungkinan intervensi peretas dengan pengoperasian perangkat keras. Dalam praktiknya, TPM bersama dengan UEFi Secure Boot memberi pengguna proses yang sepenuhnya terlindungi dan aman untuk memulai sistem operasi.

Panggung di mana pengembang pihak ketiga dimuat (pemindai anti-virus), Microsoft menunjuk sebagai boot yang diukur. Untuk peluncuran awal driver anti-malware, peluncuran awal program anti-theroneal) dari pengembang anti-virus Microsoft memberikan tanda tangannya. Jika hilang, UEFI menyela proses boot. Kernel memeriksa perlindungan anti-virus saat startup. Jika driver ELAM diuji, kernel mengakui driver yang sebenarnya dan lainnya. Ini menghilangkan kemungkinan bahwa rootkit akan mempengaruhi proses pemuatan Windows dan "memanfaatkan situasi" ketika pemindai antivirus belum aktif.

Spesifikasi TPM 1.2 sebelumnya menggunakan teknologi usang dengan algoritma enkripsi RSA-2048 dan SHA-1 yang tertanam dalam perangkat keras (yang terakhir dianggap tidak aman). Alih-alih menggunakan algoritma yang didefinisikan secara ketat dalam chip TPM dalam versi 2.0, metode enkripsi simetris dan asimetris dapat disediakan. Misalnya, SHA-2, HMAC, ECC dan AES saat ini tersedia. Selain itu, di TPM 2.0 dengan memperbarui, Anda dapat menambahkan dukungan untuk cryptoalgoritma baru.


Chip TPM menghasilkan kunci untuk BitLocker - Sistem Enkripsi Windows

Pendekatan utama juga telah berubah. Jika dua kunci kriptografi tetap yang tetap terlibat sebagai dasar untuk semua layanan yang ditawarkan, maka TPM 2.0 bekerja dengan angka acak yang sangat besar - yang disebut inisial. Pada saat yang sama, kunci yang diinginkan dihasilkan melalui fungsi matematika menggunakan angka awal sebagai sumber data. TPM 2.0 juga menyediakan kemampuan untuk menghasilkan kunci hanya untuk penggunaan satu kali.

Jumlah "cacing" yang terus berkembang, virus, dan lubang-lubang elementer dalam sistem operasi modern dan layanan jaringan memaksa para profesional TI untuk mengembangkan keamanan informasi baru dan baru. Sebelumnya digunakan terutama solusi perangkat lunak - perangkat keras dan perangkat lunak tidak tersedia untuk semua orang. Sekarang, berkat teknologi TPM (modul platform tepercaya), solusi ini datang ke massa dan menjadi tersedia untuk semua orang. Dalam aplikasi ini kita akan berbicara tentang apa itu TPM dan mengapa masuk akal untuk menggunakan teknologi ini di perusahaan.

TPM adalah mikrokontroler yang dirancang untuk menerapkan fitur keamanan dasar menggunakan kunci enkripsi. Chip TPM dipasang pada motherboard komputer dan berinteraksi dengan sisa komponen sistem melalui bus sistem.

Konsep "modul platform tepercaya" (ini adalah bagaimana singkatan TPM diterjemahkan ke dalam Rusia) milik konsorsium kelompok komputasi tepercaya (TCG), yang telah ada sejak 2004.
Teknologi TPM sendiri muncul tidak pada tahun 2004, tetapi sebelumnya. Pada tahun 1999, Aliansi Platform Komputer Tepercaya (Aliansi Platform Komputasi Tepercaya, TCPA) didirikan. Aliansi ini termasuk pengembang perangkat keras dan perangkat lunak yang paling penting - IBM, HP, Microsoft, dll. Meskipun ada nama-nama peserta, kegiatan aliansi mengingatkan dongeng terkenal tentang angsa, kanker dan piko: semua orang "jatuh siapa" ( Setiap anggota aliansi memiliki hak untuk membatalkan keputusan yang diambil oleh anggota lain), sehingga TPM dikembangkan cukup lambat.

(AdsbyGoGoogle \u003d window.adsbygoogle ||) .bush (());

Pada tahun 2004, Aliansi TCPA dikonversi menjadi konsorsium tempel yang dipercaya. Struktur organisasi ini berbeda. Solusi penting hanya dapat menerima perusahaan terpilih (mereka disebut promotor - promotor). Perusahaan seperti itu sekarang Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft dan VeriSign. Sisa perusahaan (mereka lebih dari seribu) memiliki hak hanya untuk berpartisipasi dalam pengembangan spesifikasi rancangan atau hanya menerima akses sebelumnya ke perkembangan baru.
Hasil utama TCPA / TCG adalah "Modul Platform Tepercaya", yang sebelumnya disebut "Fritz Chip). Dia diberi nama setelah senator Amerika Fritz Holling (Fritz Hollings), yang dikenal karena dukungannya untuk sistem perlindungan hak cipta untuk informasi digital (manajemen hak digital, DRM).

Tugas utama TPM adalah pembuatan komputer yang aman, yang diperiksa dan dilindungi oleh semua proses komunikasi, serta perangkat keras dan perangkat lunak. Di bawah perlindungan komunikasi menyiratkan bukan proses melindungi koneksi jaringan, tetapi perlindungan proses interaksi antara bagian individu sistem (misalnya, OS).
Modul TPM dapat digunakan untuk memeriksa integritas dan kepengarangan data. Akses ke data harus hanya memiliki pengguna pengotor-bath, itu harus memastikan keamanan informasi itu sendiri. Pemeriksaan Integritas akan memastikan perlindungan sistem dari virus, "cacing" dan program lain yang mengubah data tanpa memberi tahu pengguna.
Saat mengembangkan TPM, tugas itu tidak diatur untuk membuat modul hanya untuk mencegah komputer pribadi atau laptop dari virus - teknologi ini dapat digunakan untuk memastikan keamanan ponsel, PDA, perangkat input, drive disk. Bersama dengan itu, Anda dapat menerapkan perangkat identifikasi biometrik. Perlindungan koneksi jaringan bergerak dalam divisi terpisah TCG - Tepercaya Network Connect (TNC). Kami tidak akan menganggap buah-buahan kegiatan TNC, dan kami akan membatasi diri hanya untuk TPM.

Misalnya, Anda dapat memasang hard disk dengan dukungan TPM (Gbr. P37). Hard drive tersebut telah lama dirilis Seagate (Momentus 5400 FDE.2). Tetapi Seagate bukan satu-satunya produsen hard drive dengan fungsi enkripsi. Produsen lain, seperti Hitachi, juga menghasilkan "drive kriptografi". Jadi pilihan "besi" yang Anda miliki (baca tentang produsen perangkat keras dan perangkat lunak lain dengan dukungan TPM dapat ditemukan di www.tonymcfadden.net).

Bagaimana TPM bekerja

Seperti yang sudah dicatat, modul TPM diimplementasikan sebagai chip pada motherboard. Chip TPM diintegrasikan ke dalam proses memuat komputer dan memeriksa sistem hash menggunakan algoritma algoritma hash keamanan, dihitung berdasarkan informasi tentang semua komponen komputer, baik perangkat keras (prosesor, hard disk, kartu video) dan perangkat lunak (OS).
Dalam proses mengunduh komputer, chip memeriksa keadaan sistem, yang hanya dapat berjalan dalam mode yang terbukti (kondisi resmi), yang mungkin hanya dalam hal deteksi nilai hash yang benar.

Pengaturan TPM di Windows

Manual berikut menjelaskan penggunaan layanan TPM di Windows Vista:
http://www.oszone.net/display.php?id\u003d4903.
Di Windows Vista dan Windows Server 2008, teknologi enkripsi disk bitlocker digunakan, yang saling berhubungan erat dengan modul tepercaya (Gbr. P38). Tentang konfigurasi BitLocker di Windows Server 2008 dan Vista (Gbr. P39, P40) dapat ditemukan di sini:
http://www.securitylab.ru/contest/300318.php; http://www.oszone.net/4934/vistabitlocker.

Sistem siap dengan dukungan TPM

Komputer TPM jadi telah lama dijual gratis: laptop dan desktop. Biasanya, sistem tersebut diproduksi oleh produsen terkenal seperti HP, sehingga harga mereka mungkin terlalu ditaksir terlalu tinggi (biaya tambahan "untuk merek").
Mereka yang ingin menghemat dapat direkomendasikan untuk membeli "besi" dengan dukungan untuk TPM dan mengumpulkan semuanya sendiri. Motherboard yang diperlukan dikeluarkan oleh banyak produsen, seperti ASUS (M2N32-SLI Premium), MSI (Q35MDO), dll. (Gbr. P41).

Mengapa perlu TPM.

Pertama, TPM adalah peningkatan keamanan sistem secara keseluruhan dan tambahan, diimplementasikan dalam tingkat perlindungan perangkat keras terhadap virus, "Trojan" dan roh jahat komputer lainnya. Dan pada keamanan, terutama di perusahaan, seperti yang kita ketahui, itu tidak layak disimpan.
Kedua, TPM adalah data terenkripsi pada hard disk. TPM memungkinkan Anda menemukan kompromi antara keselamatan dan kinerja.
Karena enkripsi dilakukan pada tingkat perangkat keras, praktis tidak tercermin dalam kinerja.
Ketiga, dengan TPM, Anda dapat melakukannya tanpa kata sandi, menggunakan sidik jari pengguna alih-alih itu. Setuju, solusi yang cukup efektif. Kemarin, kami melihat sistem seperti itu dalam film setengah fantastis, dan hari ini sudah kenyataan.

Penting untuk diingat bahwa TPM bukan berarti universal dan bukan obat mujarab dari semua kesulitan komputer. Tidak ada yang membatalkan antivirus dan firewall yang baik. TPM dikembangkan lebih untuk melindungi kepentingan perangkat lunak Giants: Agar tidak memungkinkan pengguna untuk meluncurkan sistem non-lisensi. Dari sudut pandang ini, belum jelas, TPM baik atau buruk, mengingat jumlah program yang tidak berlisensi pada ekspansi kami. Mari kita lihat kebenaran di mata - banyak perangkat lunak bajak laut.
Juga, tidak perlu melupakan faktor manusia. Seseorang dapat dengan sengaja memberi tahu kata sandi sistemnya atau menuliskannya di suatu tempat pada selembar kertas kuning yang menempel pada monitor, atau cukup instal kata sandi yang sangat sederhana yang mudah diambil. Dalam situasi ini, TPM pasti tidak akan membantu. Perangkat lunak ini datang ke penyelamatan, yaitu sistem kontrol akses, tetapi ini adalah cerita lain.




Jumlah "cacing" yang terus berkembang, virus, dan lubang-lubang elementer dalam sistem operasi modern dan layanan jaringan memaksa para profesional TI untuk mengembangkan keamanan informasi baru dan baru. Sebelumnya digunakan terutama solusi perangkat lunak - perangkat keras dan perangkat lunak tidak tersedia untuk semua orang. Sekarang, berkat teknologi TPM (modul platform tepercaya), solusi ini datang ke massa dan menjadi tersedia untuk semua orang. Dalam aplikasi ini kita akan berbicara tentang apa itu TPM dan mengapa masuk akal untuk menggunakan teknologi ini di perusahaan.

Apa itu TPM.

TPM adalah mikrokontroler yang dirancang untuk menerapkan fitur keamanan dasar menggunakan kunci enkripsi. Chip TPM dipasang pada motherboard komputer dan berinteraksi dengan sisa komponen sistem melalui bus sistem.

Konsep "modul platform tepercaya" (ini adalah bagaimana singkatan TPM diterjemahkan ke dalam Rusia) milik konsorsium kelompok komputasi tepercaya (TCG), yang telah ada sejak 2004.

Teknologi TPM sendiri muncul tidak pada tahun 2004, tetapi sebelumnya. Pada tahun 1999, Aliansi platform komputer tepercaya (Aliansi Platform Komputasi Tepercaya, TCPA) dibuat. Aliansi ini termasuk pengembang perangkat keras dan perangkat lunak yang paling penting - IBM, HP, Microsoft, dll. Meskipun ada nama-nama peserta, kegiatan aliansi mengingatkan dongeng terkenal tentang angsa, kanker dan piko: semua orang "jatuh siapa" ( Setiap anggota aliansi memiliki hak untuk membatalkan keputusan yang diambil oleh anggota lain), sehingga TPM dikembangkan cukup lambat.

Pada tahun 2004, Aliansi TCPA diubah menjadi konsorsium TrustedComputingGroup.. Struktur organisasi ini berbeda. Solusi penting hanya dapat menerima perusahaan terpilih (mereka disebut promotor - promotor). Perusahaan seperti itu sekarang Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft dan Verisiign.. Sisa perusahaan (mereka lebih dari seribu) memiliki hak hanya untuk berpartisipasi dalam pengembangan spesifikasi rancangan atau hanya menerima akses sebelumnya ke perkembangan baru.

Hasil utama TCPA / TCG adalah "Modul Platform Tepercaya", yang sebelumnya disebut "Fritz Chip). Dia diberi nama setelah senator Amerika Fritz Holling (Fritz Hollings), yang dikenal karena dukungannya untuk sistem perlindungan hak cipta untuk informasi digital (manajemen hak digital, DRM).

Tugas TPM.

Tugas utama TPM adalah pembuatan komputer yang aman, yang diperiksa dan dilindungi oleh semua proses komunikasi, serta perangkat keras dan perangkat lunak. Di bawah perlindungan komunikasi menyiratkan bukan proses melindungi koneksi jaringan, tetapi perlindungan proses interaksi antara bagian individu sistem (misalnya, OS).

Modul TPM dapat digunakan untuk memeriksa integritas dan kepengarangan data. Akses ke data harus hanya memiliki pengguna pengotor-bath, itu harus memastikan keamanan informasi itu sendiri. Pemeriksaan Integritas akan memastikan perlindungan sistem dari virus, "cacing" dan program lain yang mengubah data tanpa memberi tahu pengguna.

Saat mengembangkan TPM, tugas itu tidak diatur untuk membuat modul hanya untuk mencegah komputer pribadi atau laptop dari virus - teknologi ini dapat digunakan untuk memastikan keamanan ponsel, PDA, perangkat input, drive disk. Bersama dengan itu, Anda dapat menerapkan perangkat identifikasi biometrik.

Perlindungan koneksi jaringan bergerak dalam divisi terpisah TCG - Tepercaya Network Connect (TNC). Kami tidak akan menganggap buah-buahan kegiatan TNC, dan kami akan membatasi diri hanya untuk TPM.

Besi dan matematika

Adalah logis untuk berasumsi bahwa chip TPM sendiri pada motherboard tidak melakukan apa-apa. Perlu dukungan dari sisa "besi" dan matematika - perangkat lunak.

Misalnya, Anda dapat memasang hard disk dengan dukungan TPM (Gbr. P37). Hard drive seperti itu sudah lama diproduksi Seagate. (Momentus 5400 FDE.2). Tapi Seagate. - Bukan satu-satunya produsen hard drive dengan fungsi enkripsi. Produsen lain, seperti Hitachi, juga menghasilkan "drive kriptografi". Jadi pilihan "besi" yang Anda miliki (baca tentang produsen perangkat keras dan perangkat lunak lain dengan dukungan TPM dapat ditemukan di www.tonymcfadden.net).


Ara. P37. Seagate Momentus 5400 FDE.2 hard disk

Sedangkan untuk OS, Teknologi TPM didukung oleh sebagian besar sistem operasi modern - Windows Vista, Microsoft Windows Server 2003 SP1, Microsoft Windows XP SP2, Windows XP Professional X64, SUSE Linux (mulai dari versi 9.2) dan Enterprise Linux (dimulai dengan Versi 3) UPDATE 3).

Bagaimana TPM bekerja

Seperti yang sudah dicatat, modul TPM diimplementasikan sebagai chip pada motherboard. Chip TPM diintegrasikan ke dalam proses memuat komputer dan memeriksa sistem hash menggunakan algoritma algoritma hash keamanan, dihitung berdasarkan informasi tentang semua komponen komputer, baik perangkat keras (prosesor, hard disk, kartu video) dan perangkat lunak (OS).

Dalam proses mengunduh komputer, chip memeriksa keadaan sistem, yang hanya dapat berjalan dalam mode yang terbukti (kondisi resmi), yang mungkin hanya dalam hal deteksi nilai hash yang benar.

Pengaturan TPM di Windows

Manual berikut menjelaskan penggunaan layanan TPM di Windows Vista:

Di Windows Vista dan Windows Server 2008, teknologi enkripsi disk bitlocker digunakan, yang saling berhubungan erat dengan modul tepercaya (Gbr. P38). Tentang konfigurasi BitLocker di Windows Server 2008 dan Vista (Gbr. P39, P40) dapat ditemukan di sini:



Ara. P38. Komponen Bitlocker
Ara. P39. Enkripsi Bitlocker dimatikan: Modul TPM tidak diinstal atau dimatikan (di BIOS)
Ara. P40. Enkripsi volume penuh dan rangkaian interaksi TPM di Windows

Sistem siap dengan dukungan TPM

Komputer TPM jadi telah lama dijual gratis: laptop dan desktop. Biasanya, sistem tersebut diproduksi oleh produsen terkenal seperti HP, sehingga harga mereka mungkin terlalu ditaksir terlalu tinggi (biaya tambahan "untuk merek").

Mereka yang ingin menghemat dapat direkomendasikan untuk membeli "besi" dengan dukungan untuk TPM dan mengumpulkan semuanya sendiri. Motherboard yang diperlukan dikeluarkan oleh banyak produsen, seperti ASUS (M2N32-SLI Premium), MSI (Q35MDO), dll. (Gbr. P41).




Ara. P41. Asus M2N32-SLI Motherboard Premium (dengan dukungan TPM)

Mengapa perlu TPM.

Pertama, TPM adalah peningkatan keamanan sistem secara keseluruhan dan tambahan, diimplementasikan dalam tingkat perlindungan perangkat keras terhadap virus, "Trojan" dan roh jahat komputer lainnya. Dan pada keamanan, terutama di perusahaan, seperti yang kita ketahui, itu tidak layak disimpan.

Kedua, TPM adalah data terenkripsi pada hard disk. TPM memungkinkan Anda menemukan kompromi antara keselamatan dan kinerja.

Karena enkripsi dilakukan pada tingkat perangkat keras, praktis tidak tercermin dalam kinerja.

Ketiga, dengan TPM, Anda dapat melakukannya tanpa kata sandi, menggunakan sidik jari pengguna alih-alih itu. Setuju, solusi yang cukup efektif. Kemarin, kami melihat sistem seperti itu dalam film setengah fantastis, dan hari ini sudah kenyataan.

TPM bukan obat mujarab

Penting untuk diingat bahwa TPM bukan berarti universal dan bukan obat mujarab dari semua kesulitan komputer. Tidak ada yang membatalkan antivirus dan firewall yang baik. TPM dikembangkan lebih untuk melindungi kepentingan perangkat lunak Giants: Agar tidak memungkinkan pengguna untuk meluncurkan sistem non-lisensi. Dari sudut pandang ini, belum jelas, TPM baik atau buruk, mengingat jumlah program yang tidak berlisensi pada ekspansi kami. Mari kita lihat kebenaran di mata - banyak perangkat lunak bajak laut.

Juga, tidak perlu melupakan faktor manusia. Seseorang dapat dengan sengaja memberi tahu kata sandi sistemnya atau menuliskannya di suatu tempat pada selembar kertas kuning yang menempel pada monitor, atau cukup instal kata sandi yang sangat sederhana yang mudah diambil. Dalam situasi ini, TPM pasti tidak akan membantu. Perangkat lunak ini datang ke penyelamatan, yaitu sistem kontrol akses, tetapi ini adalah cerita lain.

Catatan:

Sebelum Anda mulai membaca buku ini, perlu berbicara tentang unit pengukuran informasi. Unit pengukuran informasi dasar sedikit. Bit mungkin berisi satu dari dua nilai - atau 0, atau 1. Delapan bit bentuk byte. Jumlah bit ini cukup untuk menyandikan 1 simbol menggunakan nol dan unit. Artinya, dalam satu pate ditempatkan pada 1 simbol informasi - surat, digit, dll. 1024 byte - ini adalah satu kilobyte (KB), dan 1024 kilobyte adalah 1 megabyte (MB). 1024 Megabytes adalah 1 gigabyte (GB), dan 1024 gigabytes adalah 1 terabyte (TB).

Harap dicatat: Ini 1024, dan bukan 1000. Mengapa itu dipilih 1024? Karena komputer menggunakan sistem nomor biner (hanya ada 2 nilai - 0 dan 1), 2 pada tingkat 10 - ini adalah 1024.

Tidak selalu, tetapi seringkali huruf besar "B" ketika menentukan satuan pengukuran informasi berarti "byte", dan yang kecil - "bit". Misalnya, 528 MB adalah 528 megabit, jika Anda menerjemahkan nilai ini ke megabytes (hanya membagi dengan 8), maka 66 megabytes (66 MB) akan.

Momentus 2,5 inci 5400 FDE.2 hard drive (enkripsi disk penuh) dari Seagate. Disediakan sebagai laptop ASI C8015 + (biaya laptop sekitar $ 2.200). Winchester memiliki sistem enkripsi dinamis bawaan dengan akselerasi perangkat keras dan dukungan TPM. Selain itu, pembaca sidik jari dimasukkan dalam laptop, yang membuatnya sekitar 20% lebih mahal daripada laptop biasa dengan konfigurasi yang sama. Ukuran hard disk momen dapat 80, 100, 120 dan 160 GB. Digunakan antarmuka SATA 3 GB / S.

Fitur utama dari momentus FDE.2 adalah untuk mengenkripsi / mendekripsi informasi yang dapat direkam dan dapat dibaca menggunakan algoritma AES dengan tombol 128-bit pada drivetrust firmware (firmware). Data enkripsi dilakukan sepenuhnya transparan, yaitu, tanpa terasa bagi pengguna. Dalam informasi yang terbuka (tidak terenkripsi) hanya dalam aplikasi. Pada hard disk, data disimpan hanya dalam bentuk terenkripsi.

Biasanya, proses enkripsi program secara signifikan mengurangi kinerja sistem (yang bekerja dengan PGPDisk, dia mengerti tentang apa itu). Tetapi karena dalam kasus momentus FDE.2, enkripsi dilakukan pada tingkat perangkat keras, itu meningkatkan pemuatan prosesor pusat hanya beberapa persen.

Saat memuat sistem TPM, pengguna harus memasukkan kata sandinya. Kata sandi diperlukan tidak hanya untuk melanjutkan unduhan, tetapi juga untuk mendekripsi data. Sebelumnya, dimungkinkan juga untuk menginstal kata sandi dalam pengaturan, tanpanya sistem operasi tidak memungkinkan. Tetapi Anda dapat menghapus hard disk dan menghubungkannya ke komputer lain. Jika ada agen kriptografi yang belum digunakan, maka membaca informasi dari hard disk tidak membayangkan masalah. Dalam hal TPM, bahkan jika Anda menghapus HDD dan menghubungkannya ke komputer lain, Anda tidak akan dapat membaca informasi karena dienkripsi, dan Anda tidak tahu kata sandi untuk mendekripsi.

Dan bagaimana jika pengguna lupa kata sandi? Maka Anda dapat menerapkan kata sandi utama. Dan jika kata sandi utama dilupakan (atau Anda tidak mengenalnya), maka ...

Selain itu, fungsi Crypto-Erase disediakan, yang dirancang untuk menghancurkan semua data dari hard disk. Operasi seperti itu diperlukan saat menulis hard drive atau saat mentransmisikannya ke pengguna lain.