Ghid pas cu pas pentru utilizarea serviciilor TPM în Windows Vista. Concept Modul de platformă de încredere (TPM): prima vizualizare practică a conectorului TPM

Modul de platformă de încredere.

În tehnologia de calcul Modul de platformă de încredere. (TPM) - numele specificației care descrie criptoprocesorul în care sunt stocate cheile criptografice pentru a proteja informațiile, precum și numele generalizat al implementării specificațiilor specificate, de exemplu, sub formă de "cip TPM" sau " Dispozitiv de securitate TPM "(Dell). Anterior, numit "Chip Fritz" (fostul senator Ernest "Fritz" este cunoscut pentru suportul său fierbinte pentru sistemul de protecție a drepturilor de autor pentru informații digitale, DRM). Specificația TPM a fost dezvoltată de grupul de computere de încredere (în engleză). Versiunea curentă a specificației TPM - 1.2 Revizuirea 116, ediția 3 martie 2011.

Revizuire scurtă

Modulul de platformă de încredere (TPM), un criptoprocesor, oferă mijloacele de creare sigură a tastelor de criptare capabile să limiteze utilizarea cheilor (atât pentru semnătură, cât și pentru criptare / decriptare), cu același grad de incompatibilitate ca generator de numere aleatorie. De asemenea, acest modul include următoarele caracteristici: certificarea la distanță, legarea și stocarea sigură fiabilă. Certificarea la distanță creează o conexiune a hardware-ului, a descărcărilor de sistem și a configurațiilor gazdă (calculator), permițând unei terțe părți (ca un magazin de muzică digitală) pentru a verifica dacă software-ul sau muzica încărcată din magazin nu a fost modificată sau copiată de către utilizator (a se vedea tszzz). Cryptoprocesorul criptează datele în acest mod că ele pot fi decriptate numai pe computerul în care au fost criptate, alergând același software. Legarea criptează datele utilizând cheia de confirmare TPM este cheia unică RSA înregistrată în cip în procesul de producție sau o altă cheie care este de încredere.

Modulul TPM poate fi utilizat pentru a confirma autenticitatea hardware-ului. Deoarece fiecare cip TPM este unic pentru un dispozitiv specific, acesta face posibilă autentificarea unică a platformei. De exemplu, pentru a verifica dacă sistemul la care este disponibil accesul este sistemul așteptat.

Arhitectura TPM

Următorii algoritmi de protecție sunt implementați în arhitectura chipului:

  • gestionarea memoriei protejate,
  • criptare anvelope și date,
  • ecranul activ.

Schimtarea activă permite cipul să detecteze testarea electrică și, dacă este necesar, să blocheze cipul. În plus, în fabricarea TPM, se utilizează pași tehnologici non-standard, cum ar fi confuzul topologiei stratului IP. Aceste măsuri sunt semnificativ complicate de hacking cip, de a spori costul hacking, ceea ce duce la o scădere a potențialilor intruși.

Intrare / ieșire (ing. I / O)

Această componentă controlează fluxul de informații din autobuz. Trimite mesaje la componentele corespunzătoare. Componenta I / O intră în politica de acces asociată cu funcțiile TPM.

Procesor criptografic

Operații criptografice în interiorul TPM. Aceste operațiuni includ:

  • Generarea cheilor asimetrice (RSA);
  • Criptare / decriptare asimetrică (RSA);
  • Hash (SHA-1);
  • Generarea de numere aleatorii.

TPM utilizează aceste posibilități de generare a secvențelor aleatorii, generând chei asimetrice, semnătura digitală și confidențialitatea datelor stocate. De asemenea, TPM acceptă criptarea simetrică pentru nevoile interne. Toate tastele stocate în vigoare trebuie să se potrivească cu biții cheie RSA 2048.

Memorie non-volatilă (ENG. Depozitare non-volatilă)

Folosit pentru a stoca cheia de confirmare, cheia rădăcină (tasta rădăcină de stocare în limba engleză, SRK), datele de autorizare, diferite steaguri.

Cheia de confirmare (eng. Cheie de aprobare, EK)

Generatorul Keys RSA (eng. Generator cheie RSA)

Creează o pereche de chei RSA. TCG nu impune cerințele minime pentru timpul generatoarelor cheie.

Dispozitiv RSA (Eng. RSA Motor)

Utilizate pentru semnături și criptare digitale. Nu există restricții privind implementarea algoritmului RSA. Producătorii pot folosi teorema chineză despre resturi sau orice altă metodă. Lungimea minimă recomandată este de 2048 biți. Valoarea expozanților deschisi ar trebui să fie.

Platformă de încredere (Ing. Platforma de încredere)

În sistemele TCG, rădăcinile de încredere sunt componente care trebuie să fie de încredere. Un set complet de rădăcini de încredere are funcționalitatea minimă necesară pentru a descrie platforma, care afectează procura la această platformă. Există trei rădăcini de încredere: rădăcină de încredere pentru măsurători (RTM), rădăcină de încredere pentru stocare (RTS) și rădăcină de încredere pentru mesaje (RTR). RTM este un mecanism de calcul care produce măsurători fiabile ale integrității platformei. RTS este un mecanism de calcul capabil să păstreze valori de integritate hashing. RTR - un mecanism care raportează în mod fiabil informațiile stocate în RTS. Datele de măsurare Descrieți proprietățile și caracteristicile componentelor măsurate. HASI din aceste măsurători - un "instantaneu" al stării computerului. Depozitarea lor este efectuată de funcționalitatea RTS și RTR. Comparând hash-ul valorilor măsurate cu starea de încredere a platformei, puteți vorbi despre integritatea sistemului.

Aplicații posibile

Autentificare

TPM poate fi considerat ca un token (jeton de securitate) al autentificării generației următoare. Cryptoprocesorul acceptă autentificarea și utilizatorul și computerul, oferind acces la rețea numai de utilizatori autorizați și de computere. Acest lucru poate fi utilizat, de exemplu, atunci când protejați e-mailul bazat pe criptare sau semnătură utilizând certificate digitale asociate cu TPM. De asemenea, eșecul parolelor și utilizarea TPM vă permite să creați modele de autentificare mai puternice pentru accesul cu fir, fără fir și VPN.

Protecția datelor de la furt

Acesta este scopul principal al "containerului protejat". Dispozitivele de îmbinare în sine implementate pe baza specificațiilor grupului de calcul de încredere fac ca criptarea încorporată și controlul accesului la date. Astfel de dispozitive oferă o criptare completă a discului, protejând datele atunci când pierd sau furați un computer.

Beneficii:

  • Îmbunătățirea performanței
Criptarea hardware vă permite să acționați cu toate gama de date fără pierderea performanței.
  • Amplificarea securității
Criptarea este întotdeauna activată. În plus, cheile sunt generate în interiorul dispozitivului și nu lasă niciodată.
  • Costuri reduse de costuri
Nu sunt necesare modificări ale sistemului de operare, aplicații etc.. Pentru criptare, resursele procesorului central nu sunt utilizate.

Perspectivele mari au o grămadă de TPM + BitLocker. Această soluție vă permite să transmiteți transparent întregul disc.

Controlul accesului la rețea (NAC)

TPM poate confirma autenticitatea computerului și chiar și performanța acestuia chiar înainte de a primi accesul la rețea și, dacă este necesar, puneți un computer în carantină.

Schimbarea protecției

Certificarea codului programului va proteja jocurile de la Cheaterism și programe sensibile, cum ar fi clienții bancar și poștali - de la modificarea intenționată. Imediat, adăugarea "calului troian" va fi oprită în instalatorul de mesagerie proaspăt.

Protecția copiilor

Protecția copiilor se bazează pe un astfel de lanț: programul are un certificat care îl oferă (și numai acesta) la cheia de decodificare (care este stocată și în TPM). Acest lucru oferă protecție împotriva copierii care nu poate fi ocolită software-ul.

Vânzări

Producătorii

Deja mai mult de 300 de computere "000" 000 au fost echipate cu un cip TPM. În viitor, TPM poate fi instalat pe dispozitive cum ar fi telefoanele mobile. Microcontrolerele TPM sunt fabricate de următoarele companii:

  • Sinosun.
  • Nuvoton,

Critică

Modulul platformei de încredere este criticat pentru nume (încredere - engleză. Încredere. - Întotdeauna reciproc, în timp ce utilizatorul, dezvoltatorii TPM și nu au încredere) și pentru încălcarea libertății asociate cu aceasta. Pentru aceste încălcări, dispozitivul este adesea numit Calculul trădător ("Calcule înșelătoare").

Pierderea calculatorului "posesiei"

Proprietarul calculatorului nu mai poate face nimic cu el, trecând o parte din drepturile producătorilor de software. În special, TPM poate interfera (datorită erorilor în software sau soluții intenționate de dezvoltatori):

  • transferați datele către un alt computer;
  • alegeți gratuit software-ul pentru computerul dvs.
  • procesați datele existente prin orice programe disponibile.

Pierderea anonimatului

Este suficient să ne amintim litigiile despre numărul de identificare al procesorului Pentium III pentru a înțelege ce poate cauza un identificator de calculator de la distanță și nemodificat.

Suprimarea concurenților

Programul care a devenit lider al industriei (ca AutoCAD, Microsoft Word sau Adobe Photoshop) poate stabili criptarea dosarelor sale, ceea ce face imposibilă accesul acestor fișiere prin programe ale altor producători, creând astfel o potențială amenințare la adresa concurenței gratuite în cererea de cerere Software-ul de aplicație.

Spargere

Când defalcarea TPM, containerele protejate sunt inaccesibile, iar datele din ele sunt mai puțin frecvente. TPM este practic numai dacă există un sistem complex de backup - în mod natural, pentru a asigura secretul, ar trebui să aibă propriile sale TPM-uri.

Hacking.

La conferința de securitate a calculatorului Black Hat 2010 a fost anunțată o hacking a cipului Infineon SLE66 CL PE, fabricat de specificația TPM. Acest cip este utilizat în computere, echipamente de consolă prin satelit și de jocuri. Un microscop electronic a fost folosit pentru hacking (în valoare de aproximativ 70.000 de dolari). Cochilia de cip a fost dizolvată cu acid, cele mai mici ace au fost folosite pentru a intercepta comenzile. Infineon argumentează că știau despre posibilitatea cipului de hacking fizic. Borchert (Borchert), vicepreședinte al companiei, a asigurat că echipamentul scump și complexitatea tehnică de hacking nu reprezintă pericole pentru majoritatea covârșitoare a utilizatorilor de jetoane.

Acest ghid pas cu pas oferă instrucțiunile necesare pentru utilizarea modulului platformei de încredere, TPM (TPM) în mediul de testare.

Ce este serviciile TPM?

Serviciile TPM sunt un set de noi caracteristici disponibile în Microsoft ®Windows Vista ™ și Windows Server® "Longhorn". Aceste servicii sunt utilizate pentru a gestiona modulul TPM, asigurând securitatea computerului. Arhitectura serviciilor TPM creează o bază pentru interacțiunea cu protecția hardware prin furnizarea de partajare a modulului TPM la nivelul aplicației.

Care este modulul TPM?

Modulul de platformă de încredere (TPM) este un cip destinat implementării funcțiilor de bază legate de siguranță, utilizând în principal cheile de criptare. Modulul TPM este instalat de obicei pe o placă de bază desktop sau portabilă și interacționează cu restul componentelor sistemului prin intermediul unui autobuz de sistem.

Computerele echipate cu modulul TPM au capacitatea de a crea cheile criptografice și de a le cripta în așa fel încât să poată fi decriptați numai de modulul TPM. Acest proces, adesea numit cheie "ascundere" ("ambalare" cheie) sau tasta "legare" (tasta "legare"), ajută la protejarea cheii din dezvăluire. În fiecare modul TPM, există o cheie ascunsă principală numită cheia de stocare a rădăcinii (tasta rădăcină de stocare, SRK), care este stocată în modulul TPM în sine. Partea închisă a cheii create în TPM nu va fi niciodată disponibilă la nicio altă componentă a sistemului, a software-ului, a procesului sau a utilizatorului.

Computerele echipate cu modulul TPM pot crea, de asemenea, taste care nu vor fi criptate, ci și legate de o configurație specifică a sistemului. Acest tip de cheie poate fi decriptat numai dacă caracteristica platformei pe care încearcă să se decripteze, coincide cu cea pe care a fost creată această cheie. Acest proces se numește "etanșare" cheie în modulul TPM. Decriptarea se numește "tipărire" ("dezvăluirea"). Modulul TPM poate fi, de asemenea, de etanșare și date de imprimare create în afara modulului TPM. Când utilizați o cheie sigilată și un astfel de software, cum ar fi criptarea unității BitLocker ™, puteți activa blocarea datelor până când acestea sunt transferate pe un computer cu o configurație hardware sau software adecvată.

Când utilizați modulul TPM, partea închisă a perechii de taste este stocată din memorie, accesul la care are un sistem de operare. Cheile pot fi sigilate de modulul TPM, în timp ce decizia exactă privind dacă sistemul este fiabil, va fi luată înainte ca tastele să fie tipărite și gata de utilizare. Deoarece modulul TPM pentru procesarea instrucțiunilor utilizează propriile software-uri și scheme logice încorporate, munca sa nu depinde de sistemul de operare. Acest lucru asigură protecția acestuia împotriva posibilelor vulnerabilități ale software-ului extern.

Cine este acest ghid pentru cine?

Acest manual este destinat:

  • Specialiștii IT angajați în planificarea și analiza infrastructurii de informații, evaluarea funcționalității produsului.
  • Specialiști care efectuează introducerea produsului timpuriu.
  • Arhitecți de securitate responsabili de implementarea conceptului de calcul de încredere.

În acest ghid

Cerințe pentru utilizarea serviciilor TPM

Vă recomandăm să executați mai întâi toate pașii descriși în acest manual în mediul de testare. Acest manual ar trebui considerat un document separat. Nu ar trebui să fie vizualizat ca un manual cuprinzător pentru desfășurarea anumitor caracteristici ale Windows Vista sau Windows Server "Longhorn" și să o folosească fără a recurge la documentația de însoțire prezentată în secțiune .

Pregătirea mediului de testare pentru studierea activității serviciilor TPM

Pentru a explora activitatea serviciilor TPM, este necesar un mediu de testare, care constă dintr-un computer conectat la o rețea izolată printr-un hub regulat sau un comutator de nivel secundar. Computerul ar trebui să funcționeze în rularea sistemului de operare Windows Vista și să fie echipat cu un modul compatibil TPM (versiunea 1.2), precum și BIOS corespunzătoare specificației grupului de computere de încredere (TCG). De asemenea, se recomandă utilizarea unei unități USB portabile. La configurarea unei rețele pentru un mediu de testare, utilizați o gamă privată de adrese IP.

Scenariile majore pentru utilizarea serviciilor TPM

Acest manual discută următoarele scenarii de service TPM:

Notă

Trei scenarii prezentate în acest manual sunt concepute pentru a ajuta administratorul să stăpânească capabilitățile oferite de serviciile TPM în Windows Vista. Aceste scenarii conțin informații de bază și descrie procedurile necesare pentru ca administratorii să poată porni procesul de configurare și implementare în rețelele lor de computere echipate cu module TPM. Informații, precum și procedurile necesare pentru configurarea suplimentară sau extinsă a serviciilor TPM, nu sunt incluse în acest manual.

Scenariul 1. Inițializarea modulului TPM

Acest script descrie în detaliu procedura de inițializare a modulului TPM în computer. Procesul de inițializare include includerea modulului TPM și numirea proprietarului său. Acest script este scris pentru administratorii locali responsabili pentru configurarea computerelor echipate cu modulul TPM.

În ciuda faptului că în Windows Vista, inițializarea la distanță a modulului TPM este acceptată, de obicei este necesară prezența personală a administratorului pentru a efectua această operație. Dacă computerul este furnizat cu un modul TPM inițial inițial, nu este necesară o prezență personală. Informații privind inițializarea la distanță, precum și procedurile necesare pentru acest lucru care nu sunt incluse în acest manual. Serviciile TPM implică o clasă WMI care vă permite să efectuați procedurile descrise în această secțiune folosind scripturi. Informațiile privind scrierea scripturilor pentru a efectua sarcinile specificate nu sunt, de asemenea, incluse în acest manual.

Pasii de inițializare a modulului TPM

Pentru a inițializa modulul TPM instalat în computer, trebuie să efectuați pașii următori:

Pasul 1. Initializarea modulului TPM

Pentru a face ca modulul TPM să vă protejeze calculatorul, acesta trebuie inițializat mai întâi. Această secțiune descrie procedura de inițializare a modulului TPM instalat în computer.

Computerele care îndeplinesc cerințele Windows Vista sunt echipate cu o funcționalitate BIOS care simplifică inițializarea modulului TPM prin expertul de inițializare TPM. Când porniți expertul de inițializare TPM, puteți determina dacă modulul TPM a fost echipat cu un computer, inițializat sau nu.

Procedura descrisă mai jos vă va ghida în toate etapele de inițializare a modulului TPM utilizând Expertul de inițializare TPM.

Notă
Pentru a efectua procedura descrisă mai jos, trebuie să vă conectați la un computer echipat cu un modul TPM cu drepturile de administrator.

Pentru a porni expertul de inițializare a TPM și inițializarea modulului TPM, urmați acești pași:

    În meniu startselectați Toate programele, atunci Standard, atunci A executa.

    introduce tpm.msc. în câmpul Deschis, apoi apăsați tasta INTRODUCE.

    Continua "Surse suplimentare de informații"

    Apare consola Gestionarea modulului de platformă de încredere (TPM) pe computerul local.

    În meniu actalege echipa Inițializați. TPM. . În același timp, va fi lansat expertul de inițializare a TPM.

apasa butonul Pentru a reporni un computerDupă aceea, urmați instrucțiunile de pe ecran care vor emite BIOS-ul.
Notă. Mesajele afișate de BIOS, precum și acțiunile utilizatorilor necesare pot diferi în funcție de producătorul echipamentului.

După repornire, o notificare va fi afișată pe ecran pentru a răspunde la care este necesară prezența personală a utilizatorului. Acest lucru asigură că modulul TPM încearcă să inițializeze utilizatorul și nu software rău intenționat.

Dacă apare caseta de dialog Controlul contului de utilizatorAsigurați-vă că acțiunea propusă corespunde ceea ce ați solicitat, apoi faceți clic pe Continua. Pentru mai multe informații, consultați secțiunea "Surse suplimentare de informații"Situat la sfârșitul acestui document.

Clic Pregătiți automat modulul TPM pentru destinația proprietarului (recomandată).

Pasul 2. Scopul proprietarului modulului TPM

Înainte ca modulul TPM să poată fi utilizat pentru a asigura securitatea computerului, trebuie să atribuiți proprietarul acestui modul. La atribuirea proprietarului modulului TPM, trebuie să specificați o parolă. Parola este o garanție că numai proprietarul autorizat al modulului TPM poate accesa și gestiona acest lucru. Parola este de asemenea utilizată pentru a dezactiva modulul TPM dacă nu mai doriți să îl utilizați, precum și pentru curățarea modulului TPM dacă computerul este pregătit pentru eliminare.

Următoarea procedură vă va permite să deveniți proprietarul modulului TPM.

Pașii descriși mai jos vă vor ține prin procedura de atribuire a proprietarului modulului TPM utilizând expertul de inițializare TPM.

Notă

Pentru a atribui proprietarul modulului TPM, urmați acești pași.

Atenţie. Nu vă pierdeți parola. În cazul pierderii parolei, nu veți putea să produceți modificări administrative până când nu curățați modulul TPM.

Script 2. Oprirea și curățarea modulului TPM

În acest scenariu, sunt luate în considerare două sarcini comune cu care administratorii vor trebui să fie întâlnite în timpul unei modificări a configurației sau eliminării calculatorului echipat cu modulul TPM. Aceste sarcini sunt modulul TPM și curățarea acestuia.

Oprirea modulului TPM.

Unii administratori pot decide că nu pe fiecare computer din rețeaua lor echipată cu modulul TPM, este necesară o protecție suplimentară ca acest modul să furnizeze. Într-o astfel de situație, se recomandă asigurarea faptului că modulele TPM de pe computerele respective sunt dezactivate. Procedura prezentată mai jos vă va ghida prin întregul modul TPM.

Notă
Pentru a dezactiva modulul TPM, nu este necesară prezența personală a administratorului.

Pentru a îndeplini procedura descrisă mai jos, trebuie să vă conectați la un computer echipat cu un modul TPM cu un administrator local.

Pentru a dezactiva modulul TPM, urmați acești pași.

    În meniu startalege paragraf Toate programele, atunci Standard, atunci A executa.

    introduce tpm.msc. în câmpul Deschisși apăsați tasta INTRODUCE. Apare consola

    Dacă apare caseta de dialog Controlul contului de utilizatorAsigurați-vă că acțiunea propusă corespunde ceea ce ați solicitat, apoi faceți clic pe Continua. Pentru mai multe informații, consultați secțiunea "Surse suplimentare de informații"Situat la sfârșitul acestui document.

    În meniu Acțiunialege echipa Dezactivați TPM..

    În caseta de dialog Dezactivați echipamentul de siguranță pentru un modul de platformă de încrederetuluați metoda de introducere a parolei și a modulului TPM:

    Dacă aveți un suport amovibil pe care l-ați salvat anterior parola proprietarului modulului TPM, introduceți-l în cititor și apăsați. În caseta de dialog, faceți clic pe Prezentare generală, DeschisDupă aceea, faceți clic pe.

    Introduceți parola (inclusiv cratimele) și faceți clic pe Dezactivați modulul platformei de încredere.

    Niciun proprietar de parolă TPMȘi urmați instrucțiunile pentru a dezactiva modulul TPM fără a intra în parolă.

Notă. Pentru a dezactiva modulul TPM fără a intra în parola proprietarului TPM și a efectua un număr limitat de sarcini administrative, este necesară o prezență personală a unui administrator în apropierea computerului.

Starea modulului TPM este afișată în zonă condițieconsola de administrare TPM.

Curățarea modulului TPM

Curățarea modulului TPM duce la anularea modulului TPM și deconectarea modulului TPM. Această acțiune trebuie să fie efectuată dacă computerul este echipat cu un modul TPM trebuie eliminat sau când parola proprietarului TPM este pierdută. Următoarea procedură vă va ghida prin întregul proces de curățare a modulului TPM.

Notă
Pentru a curăța modulul TPM, nu este necesară prezența personală a administratorului.

Pentru a îndeplini procedura descrisă mai jos, trebuie să vă conectați la un computer echipat cu un modul TPM cu un administrator local.

Pentru a curăța modulul TPM, urmați acești pași.

    În meniu startselectați Toate programele, atunci Standard, atunci A executa.

    introduce tpm.msc. în câmpul Deschisși apăsați tasta INTRODUCE. Apare consola Gestionarea unui modul de platformă de încredere (TPM) pe un computer local.

    Dacă apare caseta de dialog Controlul contului de utilizatorAsigurați-vă că acțiunea propusă corespunde ceea ce ați solicitat, apoi faceți clic pe Continua. Pentru mai multe informații, consultați secțiunea "Surse suplimentare de informații"Situat la sfârșitul acestui document.
    Atenţie. Ștergerea modulului TPM va avea ca rezultat că toate setările sale vor reveni la fabrică, iar modulul însuși va fi dezactivat. În același timp, veți pierde toate cheile create, precum și datele care au fost protejate de aceste chei.

    În meniu Acțiunialege echipa clar TPM.. Dacă modulul TPM este dezactivat, urmați procedura descrisă în secțiune "Pasul 1. Inițializarea modulului TPM", Pentru a re-inițializa-o înainte de curățare.

    În caseta de dialog Echipamente de siguranță curate pentru un modul de platformă de încredereselectați metodaparola de intrare și curățarea modulului TPM:

    Dacă aveți un suport detașabil la care ați salvat anterior parola proprietarului TPM, introduceți-l în cititor și faceți clic pe Există un fișier de arhivă cu o parolă a proprietarului TPM. În caseta de dialog Selectați un fișier de rezervă cu o parolă a modulului platformei de încredere apasa butonul Prezentare generală , Pentru a selecta un fișier cu extensie.tpm, situat pe suport detașabil, apoi faceți clic pe Deschis, apoi apasa.

    În absența unui suport detașabil cu o parolă salvată, selectați Introduceți proprietarul parolei manual TPM. În caseta de dialog care apare dialog Introduceți parola pentru proprietarul modulului platformei de încredere Introduceți parola (inclusiv cratimele) și faceți clic pe Clear Modul de platformă de încredere.

    Dacă nu cunoașteți parola proprietarului TPM, selectați Niciun proprietar de parolă TPM Și urmați instrucțiunile pentru a curăța modulul TPM fără a intra în parolă.

Notă. Pentru a curăța modulul TPM și a efectua un număr limitat de sarcini asociate cu administrarea, fără a fi nevoie să introduceți parola proprietarului TPM, necesită prezența personală a administratorului în apropierea calculatorului.

Starea modulului TPM este afișată în câmp. condiție Consola de administrare TPM.

Scenariul 3. Blocarea și permisiunea de a utiliza comenzile TPM

Acest script descrie procedura de blocare și permisiunea de a utiliza comenzile modulului TPM. Această sarcină administratorilor locali pot efectua în timpul configurației inițiale a computerului echipate cu modulul TPM sau în timpul modificării configurației sale. Comenzile modulului TPM pot fi controlate printr-o filială a consolei de control TPM. Echipe de management. Aici, administratorii pot vizualiza comenzi disponibile pentru utilizarea cu modulul TPM. Acestea pot, de asemenea, să blocheze și să permită utilizarea acestor comenzi în restricțiile impuse de setările politicii de grup și de setările de calculator local. Următoarea procedură vă va ține prin întregul proces de blocare și permițare a utilizării comenzilor modulelor TPM.

Notă
Pentru a îndeplini procedura descrisă mai jos, trebuie să vă conectați la un computer echipat cu un modul TPM cu un administrator local.

Pentru a bloca și a permite utilizarea comenzilor TPM, urmați acești pași.

    În meniu startselectați Toate programele, atunci Standard, atunci A executa.

    Dacă apare caseta de dialog Controlul contului de utilizatorAsigurați-vă că acțiunea propusă corespunde ceea ce ați solicitat, apoi faceți clic pe Continua. Pentru mai multe informații, consultați secțiunea "Surse suplimentare de informații"Situat la sfârșitul acestui document

    introduce tpm.msc. în câmpul Deschis, apoi apăsați tasta INTRODUCE.

    În arborele consolei, extindeți nodul Echipe de management. Aceasta va afișa o listă de comenzi TPM.

    Selectați comanda din lista pe care doriți să o blocați sau să permiteți utilizarea.

    În meniu Acțiuniclic Blocați comanda selectatăsau Permiteți executarea comenzii selectateîn funcție de necesitate.

Notă. Administratorii locali nu pot permite comenzilor TPM blocate de politica de grup. Comenzile TPM specificate implicit în lista Listă blocată MMC vor fi, de asemenea, permise până când vor fi făcute modificările corespunzătoare politicii de grup care anulează lista de blocare implicită.

Înregistrarea și recenziile de eroare

Deoarece serviciile TPM oferă noi caracteristici în Windows Server "Longhorn" și Windows Vista, suntem foarte interesați să obținem comentariile dvs. despre lucrul cu ele, despre posibilele probleme cu care trebuie să vă confruntați, cât și cu utilitatea documentației disponibile.

Când detectați erorile, urmați instrucțiunile de pe site-ul Web Microsoft Connect. Suntem, de asemenea, interesați să obținem sugestiile dvs. și să examinați recenzii privind serviciile TPM.

Feedback-ul și întrebările generale despre serviciile TPM Puteți direcționa următoarea adresă de e-mail: Mailto: [E-mail protejat]? Subiect \u003d Windows Vista Beta 2 Trusted platformă de încredere Servicii Ghid pas cu pas.

Surse suplimentare de informații

Surse de mai jos furnizează informații suplimentare despre serviciile TPM:

    Pentru suport, consultați site-ul Microsoft Connect.

    Pentru a obține acces la grupurile de știri de serviciu TPM, urmați instrucțiunile prezentate pe site-ul Microsoft Connect.

    Programul de criptare a discului BitLocker este acceptat de un blog amplasat pe site-ul web Microsoft TechNet.

Sprijin în cadrul Programului Partener special al Programului de adoptare a tehnologiei

Dacă sunteți un tester beta și participați la un program special de afiliere pentru implementarea tehnologiilor programului de adoptare a tehnologiei (atingeți), puteți solicita, de asemenea, pentru a ajuta la reprezentantul Microsoft Developer al Grupului de dezvoltatori Microsoft.

Module de platformă de încredere (module de încredere) sunt chips-uri mici care servesc la protejarea datelor și au fost utilizate în computere, console, smartphone-uri, tablete și receptor. În prezent, chipsurile TPM sunt echipate cu aproximativ miliarde de dispozitive, iar 600 de milioane sunt PC-uri de birou.

Din 2001, susținătorii "Teoria conspirației" au început să ia în considerare chips-urile ca instrument de control, permițând să limiteze drepturile utilizatorului: teoretic, pot fi utilizate, de exemplu, așchii TPM, pentru a limita copierea ilegală a filmelor și a muzicii. Cu toate acestea , în ultimii 12 ani nu a existat un astfel de caz.. În plus, Windows utilizează un modul similar pentru încărcarea securizată și criptarea datelor pe hard disk prin intermediul BITLOCKER. Astfel, TPM oferă un avantaj în lupta împotriva dalității și a furtului de date.

În ciuda tuturor acestor lucruri, specificația versiunii 2.0 a atras o mulțime de atenție, deoarece acum jetoanele TPM funcționează "în mod implicit" (mai devreme, utilizatorul necesar pentru a le activa independent). Aparent, va fi în curând dificil să se găsească în vânzare fără TPM 2.0, deoarece Microsoft a modificat criteriile de certificare pentru Windows. Din 2015, standardul TPM 2.0 este obligatoriu pentru toți, altfel producătorul de hardware nu va primi confirmarea certificării.

Managerul TPM din fereastra Panoului de control Windows afișează starea și versiunea cipului TPM

TPM Chip garantează siguranța sistemului

Cea mai eficientă modalitate de a proteja sistemul, excluzând posibilitatea penetrării hackerului, este utilizarea cipului hardware TPM. Este un mic "computer într-un computer": un modul de încredere cu propriul procesor, RAM, unitate și o interfață de intrare / ieșire.

Sarcina principală a TPM este de a furniza sistemul de operare cu servicii sigure garantate. De exemplu, TPM Chips Store Cryptocluts utilizate pentru criptarea datelor pe hard disk. În plus, modulul confirmă identitatea întregii platforme și verifică sistemul pentru posibila intervenție a hackerilor la funcționarea hardware-ului. În practică, TPM în tandem cu boot-ul UEFI Secure oferă utilizatorului un proces complet protejat și sigur de pornire a sistemului de operare.

Stadiul pe care este încărcat dezvoltatorul terț (scanerul anti-virus), Microsoft desemnează ca o boot măsurată. Pentru lansarea timpurie a driverului anti-malware, lansarea timpurie a programului anti-theroneal) de la dezvoltatorii anti-virus Microsoft oferă semnătura sa. Dacă lipsește, UEFI întrerupe procesul de încărcare. Kernel-ul verifică protecția anti-virus la pornire. Dacă driverul Elam este testat, kernel-ul recunoaște driverele reale și alte drivere. Acest lucru elimină posibilitatea ca robotele să influențeze procesul de încărcare a ferestrelor și să profite de situație "când scanerul antivirus nu este încă activ.

Specificația precedentă TPM 1.2 utilizată tehnologia depășită cu algoritmii de criptare RSA-2048 și SHA-1 încorporați în hardware (acesta din urmă este considerat nesigur). În loc să se utilizeze algoritmi strict definiți în chips-urile TPM în versiunea 2.0, pot fi furnizate metode de criptare simetrice și asimetrice. De exemplu, SHA-2, HMAC, ECC și AES sunt disponibile în prezent. În plus, în TPM 2.0 prin actualizarea, puteți adăuga suport pentru noii criptoalgoritmi.


TPM chipsuri generează chei pentru bitlocker - sisteme de criptare Windows

Abordarea cheie sa schimbat, de asemenea,. Dacă au fost implicate două chei criptografice fixe ca o bază pentru toate serviciile oferite, atunci TPM 2.0 funcționează cu numere aleatorii foarte mari - așa-numitul inițial. În același timp, cheile dorite sunt generate prin intermediul funcțiilor matematice utilizând numerele inițiale ca date sursă. TPM 2.0 oferă, de asemenea, posibilitatea de a genera taste numai pentru o utilizare unică.

Numărul tot mai mare de "viermi", viruși și găuri elementare în sistemele moderne de operare și serviciile de rețea îl forțează pe profesioniștii IT să dezvolte noi și noi securități de informare. Soluții software utilizate anterior, în principal, hardware-ul și software-ul nu au fost disponibile pentru toată lumea. Acum, datorită tehnologiei TPM (modulul platformei de încredere), aceste soluții au intrat în mase și au devenit disponibile tuturor. În această aplicație vom vorbi despre ce este TPM și de ce are sens să utilizați această tehnologie în întreprindere.

TPM este un microcontroler conceput pentru a implementa caracteristici de securitate de bază utilizând cheile de criptare. Cipul TPM este instalat pe placa de bază al computerului și interacționează cu restul componentelor sistemului prin magistrala de sistem.

Conceptul de "module de încredere de încredere" (acesta este modul în care abrevierea TPM este tradusă în limba rusă) aparține consorțiului Grupul de calcul de încredere (TCG), care a existat din 2004.
Tehnologia TPM în sine nu a apărut în 2004, dar înainte. În 1999, a fost creată Alianța de Platforme de Computer de încredere (alianța de înaltă performanță a platformei de calcul, TCPA). Această alianță a inclus cei mai importanți dezvoltatori de hardware și software - IBM, HP, Microsoft etc., în ciuda numelor participanților, activitățile Alianței au reamintit faimoasele fabule despre lebede, cancer și știucă: toată lumea "a renunțat la cine" Fiecare membru al Alianței a avut dreptul de a anula decizia luată de alți membri), deci TPM sa dezvoltat destul de încet.

(adsbygoogle \u003d fereastră.adsbygoogle ||) .push (());

În 2004, Alianța TCPA a fost convertită în consorțiul de avertizare de încredere. Structura acestei organizații a fost diferită. Soluțiile importante pot primi numai companiile alese (ele sunt numite promotori - promotori). Astfel de companii sunt acum Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft și VeriSign. Restul companiilor (mai mult de o mie) au dreptul doar de a participa la elaborarea unui proiect de specificații sau pur și simplu beneficiază de acces anterior la noile evoluții.
Rezultatul principal al TCPA / TCG este "modulul platformei de încredere", numit anterior "Fritz Chip). El a fost numit după senatorul american al Fritz Hollings (Fritz Hollings), cunoscut pentru sprijinul său pentru sistemul de protecție a drepturilor de autor pentru informații digitale (gestionarea drepturilor digitale, DRM).

Principala sarcină a TPM este crearea unui computer securizat, care este verificat și protejat de toate procesele de comunicare, precum și hardware și software. Sub protecția comunicării nu implică procesul de protejare a conexiunii la rețea, ci protejarea procesului de interacțiune dintre părțile individuale ale sistemului (de exemplu, OS).
Modulul TPM poate fi utilizat pentru a verifica integritatea și autorizarea datelor. Accesul la date trebuie să aibă numai utilizatorii autorizați-baie, trebuie să asigure siguranța informațiilor în sine. Verificarea integrității va asigura protecția sistemului de viruși, "viermi" și alte programe care modifică datele fără a notifica utilizatorul.
La dezvoltarea TPM, sarcina nu a fost setată pentru a crea un modul numai pentru prevenirea computerelor personale sau a laptopurilor din viruși - această tehnologie poate fi utilizată pentru a asigura securitatea telefonului mobil, PDA-urile, dispozitivele de intrare, unitățile de disc. Împreună cu acesta, puteți aplica dispozitive de identificare biometrice. Protecția conexiunilor de rețea este implicată într-o diviziune separată a conectării rețelei TCG - TNC (TNC). Nu vom lua în considerare fructele activităților TNC și ne vom limita doar la TPM.

De exemplu, puteți instala un hard disk cu suport TPM (Fig. P37). Astfel de hard disk-uri au eliberat mult seagate (momentan 5400 FDE.2). Dar Seagate nu este singurul producător de hard disk cu funcție de criptare. Alți producători, cum ar fi Hitachi, produc, de asemenea, "Drive Cryptografice". Astfel, alegerea de "fier" pe care o aveți (citiți despre alte producători de hardware și software cu suportul TPM pot fi găsite la www.tonymcfadden.net).

Cum funcționează TPM.

După cum sa observat deja, modulul TPM este implementat ca un cip pe placa de bază. Cipul TPM este integrat în procesul de încărcare a computerului și verifică sistemul HASH utilizând algoritmul algoritmului hash de securitate, acesta este calculat pe baza informațiilor despre toate componentele computerului, atât hardware (procesor, hard disk, card video), cât și software-ul (OS).
În procesul de descărcare a unui computer, chipul verifică starea sistemului, care poate funcționa numai în modul dovedit (condiție autorizată), care este posibilă numai în cazul detectării valorii corecte a hashului.

Configurarea TPM în Windows

Următorul manual descrie utilizarea serviciilor TPM în Windows Vista:
http://www.oszone.net/display.php?id\u003d4903.
În Windows Vista și Windows Server 2008, se utilizează tehnologia de criptare a discului BitLocker, care este strâns interconectată cu module de încredere (Fig. P38). Despre configurația BitLocker în Windows Server 2008 și Vista (Fig. P39, P40) poate fi găsită aici:
http://www.securityLab.ru/contest/300318.php; http://www.oszone.net/4934/VistabitLocker.

Sisteme gata cu suport TPM

Terminat computerele TPM au fost mult timp în vânzare gratuit: atât laptop-uri, cât și desktop-uri. În mod tipic, astfel de sisteme sunt produse de faimoasele producători precum HP, astfel încât prețul lor poate fi ușor supraestimat (contra cost "pentru brand").
Cei care doresc să salveze pot fi recomandați să cumpere "fier" cu suport pentru TPM și să colecteze toate împreună pe cont propriu. Plăcile de bază necesare sunt emise de mulți producători, cum ar fi ASUS (M2N32-SLI Premium), MSI (Q35MDO) etc. (Fig. P41).

De ce aveți nevoie de TPM.

În primul rând, TPM este o creștere a securității globale a sistemului și a unui plus, implementat în nivelul hardware al protecției împotriva virușilor, "Troian" și al altor băuturi răi de computer. Și pe securitate, mai ales în întreprindere, după cum știm, nu merită salvat.
În al doilea rând, TPM este date criptate pe hard disk. TPM vă permite să găsiți un compromis între siguranță și performanță.
Deoarece criptarea se efectuează la nivel hardware, practic nu se reflectă în performanță.
În al treilea rând, cu TPM, puteți face fără o parolă, folosind amprenta utilizatorului în locul acesteia. Sunt de acord, o soluție destul de eficientă. Ieri, am văzut astfel de sisteme în jumătatea filmelor fantastice, iar astăzi este deja realitate.

Este important să vă amintiți că TPM nu este un mijloc universal și nu un panaceu de la toate adversitățile computerului. Nimeni nu a anulat un bun antivirus și firewall. TPM a fost dezvoltat mai mult pentru a proteja interesele giganților software: pentru a nu permite utilizatorului să lanseze un sistem non-licențe. Din acest punct de vedere, nu este încă clar, TPM este bun sau rău, având în vedere numărul de programe fără licență asupra expansiilor noastre. Să ne uităm la adevăr în ochi - o mulțime de software de pirat.
De asemenea, nu este nevoie să uitați de factorul uman. O persoană poate spune în mod intenționat parola sistemului său sau o poate scrie undeva pe o bucată galbenă de hârtie care se lipeste de monitor sau pur și simplu instalați o parolă foarte simplă, ușor de ridicat. În această situație, TPM nu va ajuta cu siguranță. Software-ul vine la salvare, și anume sistemele de control al accesului, dar aceasta este o altă poveste.




Numărul tot mai mare de "viermi", viruși și găuri elementare în sistemele moderne de operare și serviciile de rețea îl forțează pe profesioniștii IT să dezvolte noi și noi securități de informare. Soluții software utilizate anterior, în principal, hardware-ul și software-ul nu au fost disponibile pentru toată lumea. Acum, datorită tehnologiei TPM (modulul platformei de încredere), aceste soluții au intrat în mase și au devenit disponibile tuturor. În această aplicație vom vorbi despre ce este TPM și de ce are sens să utilizați această tehnologie în întreprindere.

Ce este TPM.

TPM este un microcontroler conceput pentru a implementa caracteristici de securitate de bază utilizând cheile de criptare. Cipul TPM este instalat pe placa de bază al computerului și interacționează cu restul componentelor sistemului prin magistrala de sistem.

Conceptul de "module de încredere de încredere" (acesta este modul în care abrevierea TPM este tradusă în limba rusă) aparține consorțiului Grupul de calcul de încredere (TCG), care a existat din 2004.

Tehnologia TPM în sine nu a apărut în 2004, dar înainte. În 1999, a fost creată Alianța de Platforme de Computer de încredere (alianța de înaltă performanță a platformei de calcul, TCPA). Această alianță a inclus cei mai importanți dezvoltatori de hardware și software - IBM, HP, Microsoft etc., în ciuda numelor participanților, activitățile Alianței au reamintit faimoasele fabule despre lebede, cancer și știucă: toată lumea "a renunțat la cine" Fiecare membru al Alianței a avut dreptul de a anula decizia luată de alți membri), deci TPM sa dezvoltat destul de încet.

În 2004, Alianța TCPA a fost transformată într-un consorțiu TrustedComputingGroup. Structura acestei organizații a fost diferită. Soluțiile importante pot primi numai companiile alese (ele sunt numite promotori - promotori). Astfel de companii sunt acum Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft și Verisign.. Restul companiilor (mai mult de o mie) au dreptul doar de a participa la elaborarea unui proiect de specificații sau pur și simplu beneficiază de acces anterior la noile evoluții.

Rezultatul principal al TCPA / TCG este "modulul platformei de încredere", numit anterior "Fritz Chip). El a fost numit după senatorul american al Fritz Hollings (Fritz Hollings), cunoscut pentru sprijinul său pentru sistemul de protecție a drepturilor de autor pentru informații digitale (gestionarea drepturilor digitale, DRM).

TPM Sarcini

Principala sarcină a TPM este crearea unui computer securizat, care este verificat și protejat de toate procesele de comunicare, precum și hardware și software. Sub protecția comunicării nu implică procesul de protejare a conexiunii la rețea, ci protejarea procesului de interacțiune dintre părțile individuale ale sistemului (de exemplu, OS).

Modulul TPM poate fi utilizat pentru a verifica integritatea și autorizarea datelor. Accesul la date trebuie să aibă numai utilizatorii autorizați-baie, trebuie să asigure siguranța informațiilor în sine. Verificarea integrității va asigura protecția sistemului de viruși, "viermi" și alte programe care modifică datele fără a notifica utilizatorul.

La dezvoltarea TPM, sarcina nu a fost setată pentru a crea un modul numai pentru prevenirea computerelor personale sau a laptopurilor din viruși - această tehnologie poate fi utilizată pentru a asigura securitatea telefonului mobil, PDA-urile, dispozitivele de intrare, unitățile de disc. Împreună cu acesta, puteți aplica dispozitive de identificare biometrice.

Protecția conexiunilor de rețea este implicată într-o diviziune separată a conectării rețelei TCG - TNC (TNC). Nu vom lua în considerare fructele activităților TNC și ne vom limita doar la TPM.

Fier și matematică

Este logic să presupunem că cipul TPM pe placa de bază nu face nimic. Aveți nevoie de sprijin de la restul "Fier" și matematică - software.

De exemplu, puteți instala un hard disk cu suport TPM (Fig. P37). Astfel de halate au fost produse de mult timp Seagate. (Momentus 5400 FDE.2). Dar Seagate. - Nu singurul producător de hard disk cu funcție de criptare. Alți producători, cum ar fi Hitachi, produc, de asemenea, "Drive Cryptografice". Astfel, alegerea de "fier" pe care o aveți (citiți despre alte producători de hardware și software cu suportul TPM pot fi găsite la www.tonymcfadden.net).


Smochin. P37. Seagate Momentus 5400 FDE.2 Hard disk

În ceea ce privește sistemul de operare, tehnologia TPM este susținută de majoritatea sistemelor de operare moderne - Windows Vista, Microsoft Windows Server 2003 SP1, Microsoft Windows XP SP2, Windows XP Professional X64, Suse Linux (pornind de la versiunea 9.2) și Enterprise Linux (începând de la versiunea 3 Actualizați 3).

Cum funcționează TPM.

După cum sa observat deja, modulul TPM este implementat ca un cip pe placa de bază. Cipul TPM este integrat în procesul de încărcare a computerului și verifică sistemul HASH utilizând algoritmul algoritmului hash de securitate, acesta este calculat pe baza informațiilor despre toate componentele computerului, atât hardware (procesor, hard disk, card video), cât și software-ul (OS).

În procesul de descărcare a unui computer, chipul verifică starea sistemului, care poate funcționa numai în modul dovedit (condiție autorizată), care este posibilă numai în cazul detectării valorii corecte a hashului.

Configurarea TPM în Windows

Următorul manual descrie utilizarea serviciilor TPM în Windows Vista:

În Windows Vista și Windows Server 2008, se utilizează tehnologia de criptare a discului BitLocker, care este strâns interconectată cu module de încredere (Fig. P38). Despre configurația BitLocker în Windows Server 2008 și Vista (Fig. P39, P40) poate fi găsită aici:



Smochin. P38. Componentele BITLOCKER.
Smochin. P39. BitLocker Criptare este oprit: Modulul TPM nu este instalat sau dezactivat (în BIOS)
Smochin. P40. Criptarea completă a volumului și circuitul interacțiunii TPM în Windows

Sisteme gata cu suport TPM

Terminat computerele TPM au fost mult timp în vânzare gratuit: atât laptop-uri, cât și desktop-uri. În mod tipic, astfel de sisteme sunt produse de faimoasele producători precum HP, astfel încât prețul lor poate fi ușor supraestimat (contra cost "pentru brand").

Cei care doresc să salveze pot fi recomandați să cumpere "fier" cu suport pentru TPM și să colecteze toate împreună pe cont propriu. Plăcile de bază necesare sunt emise de mulți producători, cum ar fi ASUS (M2N32-SLI Premium), MSI (Q35MDO) etc. (Fig. P41).




Smochin. P41. Asus M2N32-SLI Placa Premium (cu suport TPM)

De ce aveți nevoie de TPM.

În primul rând, TPM este o creștere a securității globale a sistemului și a unui plus, implementat în nivelul hardware al protecției împotriva virușilor, "Troian" și al altor băuturi răi de computer. Și pe securitate, mai ales în întreprindere, după cum știm, nu merită salvat.

În al doilea rând, TPM este date criptate pe hard disk. TPM vă permite să găsiți un compromis între siguranță și performanță.

Deoarece criptarea se efectuează la nivel hardware, practic nu se reflectă în performanță.

În al treilea rând, cu TPM, puteți face fără o parolă, folosind amprenta utilizatorului în locul acesteia. Sunt de acord, o soluție destul de eficientă. Ieri, am văzut astfel de sisteme în jumătatea filmelor fantastice, iar astăzi este deja realitate.

TPM nu este panaceu

Este important să vă amintiți că TPM nu este un mijloc universal și nu un panaceu de la toate adversitățile computerului. Nimeni nu a anulat un bun antivirus și firewall. TPM a fost dezvoltat mai mult pentru a proteja interesele giganților software: pentru a nu permite utilizatorului să lanseze un sistem non-licențe. Din acest punct de vedere, nu este încă clar, TPM este bun sau rău, având în vedere numărul de programe fără licență asupra expansiilor noastre. Să ne uităm la adevăr în ochi - o mulțime de software de pirat.

De asemenea, nu este nevoie să uitați de factorul uman. O persoană poate spune în mod intenționat parola sistemului său sau o poate scrie undeva pe o bucată galbenă de hârtie care se lipeste de monitor sau pur și simplu instalați o parolă foarte simplă, ușor de ridicat. În această situație, TPM nu va ajuta cu siguranță. Software-ul vine la salvare, și anume sistemele de control al accesului, dar aceasta este o altă poveste.

NOTE:

Înainte de a începe să citiți această carte, merită să vorbim despre unitățile de măsurare a informațiilor. Unitatea de măsurare a informațiilor de bază este un pic. Bitul poate conține una din cele două valori - sau 0 sau 1. Opt biți formează octeți. Acest număr de biți este suficient pentru a codifica 1 simbol folosind zero și unități. Aceasta este, într-o singură pate, este plasat pe 1 simbol al informațiilor - litera, cifra, etc. 1024 octeți - acesta este un kilobyte (KB), iar 1024 kilobyte sunt 1 megabyte (MB). 1024 Megabytes sunt 1 gigabyte (GB), iar 1024 gigabytes sunt 1 Terabyte (TB).

Vă rugăm să rețineți: Este 1024 și nu 1000. De ce a fost selectat 1024? Deoarece computerul utilizează un sistem de număr binar (există doar 2 valori - 0 și 1), 2 în gradul 10 - acesta este 1024.

Nu întotdeauna, dar adesea litera mare "B" atunci când specifică unitatea de măsurare a informațiilor înseamnă "octeți", și mic - "bitul". De exemplu, 528 MB este de 528 megabiți, dacă traduceți această valoare la Megabytes (Doar împărțiți cu 8), atunci vor fi 66 megabytes (66 MB).

2.5-inch Momentus 5400 FDE.2 Unitate hard disk (criptare completă a discurilor) de la Seagate. Furnizat ca ASI C8015 + laptop-uri (costul unui laptop este de aproximativ 2.200 de dolari). Winchester are un sistem de criptare dinamic încorporat cu accelerație hardware și suport TPM. În plus, cititorul de amprentă este inclus în laptop, ceea ce îl face cu aproximativ 20% mai scump decât un laptop obișnuit cu aceeași configurație. Momentul dimensiunii hard diskului poate fi de 80, 100, 120 și 160 GB. Sata 3 GB / S Interfață.

Caracteristica principală a momentului FDE.2 este de a cripta / decripta informațiile care pot fi înregistrate și citibile utilizând algoritmul AES cu o cheie de 128 de biți pe acționarul firmware (firmware). Datele de criptare sunt efectuate complet transparente, adică imperceptibil pentru utilizator. În informațiile de vizualizare deschise (necriptate) sunt numai în aplicații. Pe hard disk, datele sunt stocate numai într-o formă criptată.

În mod obișnuit, procesul de criptare a programului reduce semnificativ performanța sistemului (care a lucrat cu PGPDISK, el înțelege despre ce este vorba). Dar, deoarece, în cazul momentului FDE.2, criptarea se desfășoară la nivelul hardware, crește încărcarea procesorului central doar câteva procente.

La încărcarea sistemului TPM, utilizatorul trebuie să introducă parola. Parola este necesară nu numai pentru a continua descărcarea, ci și pentru decriptarea datelor. Anterior, a fost, de asemenea, posibilă instalarea unei parole în configurație, fără de care sistemul de operare nu este posibil. Dar ați putea elimina hard disk-ul și le puteți conecta la un alt computer. Dacă nu au fost utilizați agenți criptografici, atunci citirea informațiilor de pe hard disk nu și-au imaginat problemele. În cazul TPM, chiar dacă eliminați HDD-ul și conectați-l la un alt computer, nu veți putea citi informațiile deoarece este criptat și nu cunoașteți parola pentru ao decripta.

Și dacă utilizatorul a uitat parola? Apoi, puteți aplica parola principală. Și dacă parola principală este uitată (sau pur și simplu nu îl cunoașteți), atunci ...

În plus, este prevăzută funcția Crypto-Erase, care este concepută pentru a distruge toate datele de pe hard disk. O astfel de operație este necesară atunci când se scrie de pe hard disk sau la transmiterea acestuia unui alt utilizator.