что такое intel platform trust technology в биосе
990x.top
Простой компьютерный блог для души)
PTT — что это в биосе?
Пламенный всем привет))
PTT — расшифровывается как Platform Trust Technology, представляет себя некий аппаратный модуль для хранения ключей шифрования, который некоторыми платами может эмулироваться на программном уровне.
Скажу сразу — все просто, PTT это может присутствовать в разделе:
Advanced/Дополнительно > PCH-FW Configuration
А напротив этого пункта можно выбрать Enable или Disable. И зачем нужно? Все просто — это активация программного модуля TMP 2.0, который является требованием новой операционной системы Windows 11.
Вообще PTT расшифровывается как Platform Trust Technology. Типа модуль для хранения ключей шифрования. Также вы можете заметить опцию Clear Intel PTT Key — и судя по названию, она нужна чтобы очистить хранилище ключе, что настоятельно не стоит делать без весомой причины.
Зачем нужен этот TMP 2.0? Это специальный модуль, который используется в некоторых технологиях безопасности. Например встроенный Битлокер, который шифрует содержимое дисков. Ключи шифрования как раз хранятся в TMP 2.0., а еще этот модуль принимает участие в самом процессе шифровании.
Честно говоря я пользуюсь Windows 10 и не думаю переходить на Windows 11. Однако если они реально что-то улучшат нереально, если винда станет работать очень быстро, загружаться, а также добавят удобные фишки в интерфейс — не исключено что и я перейду)) надеюсь реальные улучшения все таки будут)
990x.top
Простой компьютерный блог для души)
Intel Platform Trust Technology что это в биосе?
Всем привет. Говорим про биос, а вернее о пункте в нем под названием Intel Platform Trust Technology. Итак, я пошел в поисковик искать информацию своими секретными способами. Значит ребята нашел инфу одну, но она на английском. Я в гугловском переводчике перевел, но все равно не все понятно…
Короче тема такая. Пункт Intel Platform Trust Technology включает какой-то виртуальный TMP, так вот, пишется что версия, которая эмулируется, может быть 2.0, и вот прикол в том что она не поддерживается в Windows 7 и поэтому будет неопознанное устройство. Пишется, что можно скачать обновление для винды, неопознанное устройство пропадет, но сама штука TMP все равно работать не будет. Это все относится к ПК с поддержкой TPM v2.0, с версией TPM v1.2 все нормально и Windows 7 поддерживает. Я понимаю что понятного тут мало, но примерно кое как образно я думаю все же понятно.
Так ребята, вот еще раскопал инфу. Короче Trusted Platform Module это и есть TPM. И это какой-то криптопроцессор, в котором хранятся криптографические ключи для защиты информации. То есть это какое-то хранилище паролей и ключей шифрования. Блин, скажу честно, это непонятная дичь.
В общем пока мое мнение такое, что пункт Intel Platform Trust Technology в биосе включает то, без чего можно жить спокойно. Эта штука TPM она нужна для защиты инфы, все верно, но знаете что именно это имеется ввиду? Вот читаю, что это может быть использовано для проверки легального использования защищенного цифрового контента, например музыка. Штука TPM может работать нормально только если есть аппаратная поддержка и программная.
Ну а вот ребята этот пункт в биосе, гляньте:
Вот еще примерчик, смотрите:
Ну а вот ребята уже новый модный биос и здесь тоже есть пункт Intel Platform Trust Technology:
Если у вас Windows 10 стоит и если есть этот модуль TPM, то у вас в диспетчере устройств он будет вот так отображаться:
А если нажать правой кнопкой и выбрать пункт Свойства, то будет такое окошко:
Да, все верно, я вот читаю, что драйвер TPM для Windows 7 есть, но все равно работать все четко не будет. Мое мнение что лучше вообще отключить Intel Platform Trust Technology в биосе..
Тем не менее господа, я нашел обновление, которое типа добавляет поддержку TPM 2.0 в Windows 7, скачать его можно отсюдова:
Можете попробовать скачать, особого смысла я лично в этом не вижу, но все же. И еще, я это обновление не ставил, у меня вообще Windows 10 и я не знаю поможет оно убрать неопознанное устройство или нет, но думаю что поможет 
Господа, на этом все, информационный штурм окончен. Удачи вам и позитивных эмоций в жизни!
Intel Platform Trust Technology что это в биосе? : 10 комментариев
Недавно разбирался с модулями TPM, т.к. у одного клиента крупный заказ на ПК с этими модулями.
Модули, которые мы ставили, производства ASRock, под разъем TPM-S, сами материнки тоже ASRock. Хотя матери могут быть другие, главное, чтобы разъем был TPM-S. У Асуса, например, другой разъем, TPM-M. Хотя и модули ТРМ они свои выпускают.
Основная фишка следующая. В процессорах Intel Core, начиная с 4-го поколения, есть свой встроенный модуль TPM стандарта TPM 2.0. Эта технология называется Intel Platform Trust Technology (РТТ). Ее можно включить или отключить в БИОСе. Если ее включить и также включить в БИОСе поддержку TPM, то увидите, что у вас в системе имеется модуль TPM 2.0. Даже если отдельный модуль в материнку не вставлен.
У этого встроенного модуля, если смотреть в оснастке tpm.msc, производитель INTC (видимо, Intel Corporation) и стандарт 2.0.
Если ставите в материнку отдельный модуль TPM и хотите работать с ним, нужно отключать РТТ в БИОСе, а поддержку ТРМ оставлять включенной.
В нашем случае при этом в tpm.msc было видно, что производитель модуля WEC, версия 3.91 и стандарт 1.2. Windows 8 и 10 тоже спокойно работают с 1.2, как и Windows 7.
В общем-то, как раз в Windows 8 и 10 никаких проблем нет ни со встроенным модулем РТТ ТРМ, ни с отдельным. Есть проблема с РТТ ТРМ в Windows 7, и она нерешаемая. То есть заставить этот модуль работать в Windows 7 никак не получится.
Windows, как известно, можно поставить на диск в одном из двух режимов — MBR или GPT. Если системный диск в режиме MBR, режим загрузки Windows называется Legacy mode, если системный диск GPT, загрузка происходит в режиме UEFI.
Так вот, модуль РТТ ТРМ не хочет работать в Windows 7 на диске MBR. Когда семерку только ставишь на диск, она не понимает, что это за устройство и игнорирует его. Установка проходит, загрузка идет нормально, вроде все хорошо. Но как только ставишь обновление KB2920188 и перегружаешься (оно это требует), при перезагрузке система зависает. И все, пока РТТ в БИОСе не отключишь, Windows больше не загрузится.
Можно поставить Windows 7 в GPT. В этом случае РТТ ТРМ вроде бы работает и не мешает системе. Установка KB2920188 проходит без проблем. Модуль видится в tpm.msc. Его можно очистить или инициализировать при необходимости. В этой оснастке после этого будет показываться, что модуль функционирует и готов к работе.
Но как только пытаешься включить BitLocker, получаешь полный облом. BitLocker выдает «Диспетчер загрузки данной операционной системы несовместим с шифрованием диска BitLocker. Обновите или исправьте диспетчер загрузки (BOOTMGR) с помощью средства Bootrec.exe в среде восстановления Windows.»
То есть, хотя сама Windows 7 нормально работает с GPT диска, долбанный семерочный BitLocker не понимает GPT! И все, на этом полный затык со встроенным модулем ТРМ. При использовании семерки приходится его отключать.
Поэтому внешний модуль очень выручает в случае Windows 7. Он нормально работает, когда семерка грузится с MBR. И BitLocker нормально включается и шифрует диск. Он не такой продвинутый, как в Win 8 и 10, шифрует сразу весь диск, а не только занятое пространство. Поэтому шифрование происходит довольно долго. Но потом все работает нормально.
Почему нужно обязательно отключать РТТ при наличии внешнего модуля ТРМ? Потому что РТТ имеет приоритет над внешним, и, если его не отключить, вы будете видеть в системе не внешний модуль, а встроенный. Из двух виден только один, видимо, стандарт так устроен, что вы можете иметь не более одного активного модуля ТРМ. Возможно, вы будете ошибочно считать, что работаете с внешним модулем, а по факту обращаетесь к встроенному.
Вот такая инфа. Думаю, кому-нибудь может пригодиться. Про РТТ вообще в инете мало что нагугливается. А тут живой опыт
Спасибо за комментарий такой развернутый. Уверен, что эта информация будет полезна. Вы внесли вклад информационный в сайт))) Я просто уставший, спасибо мое реальное!
Да, я забыл еще написать. РТТ не работает с MBR диском и в случае Windows 8.1 и 10 тоже.
В отличие от 7ки, когда ставишь 10ку в MBR, сразу после начального копирования файлов и перезагрузки винда сваливается в синий экран с ошибкой Memory Management. Видимо, потому что в системе уже есть драйвер этого устройства, и винда пытается его задействовать. В 8ке похожая картина.
Если системный диск GPT, все отлично работает в 8ке и 10ке.
Так что отдельный модуль еще будет полезен, если в 10ке или 8ке вам нужно шифрование диска, но по какой-то причине он должен быть MBR.
Спасибо вам ОГРОМНОЕ!
Я сегодня прочитал все таки все что вы написали. Я так понимаю, что ТРМ это аппаратное выполнение части алгоритма (вроде AES). И вот тут только один вопрос. Ведь AES участвует в шифровании. Но это никак не относится к архиваторам, они не будут быстрее сжимать, верно? Но при этом HTTPS вроде должно работать лучше, мне так показалось. Думаю что легче было бы понять, где вообще используется AES, а то их, насколько я знаю есть несколько ходовых алгоритмов.
Это шифрование, но не AES, а по более сильному алгоритму — RSA. Насколько я понимаю, в случае ТРМ все эти операции — генерация и хранение ключей, шифрование и т.д. — производятся с целью удостовериться, что вся работа происходит на доверяемой системе. То есть происходит увязка всех аппаратных и программных средств в единое целое с использованием криптографии.
Если после этого, например, переставить жесткий диск в другую систему, то прочитать его будет невозможно. Хотя мне лично непонятно, что мешает также и ТРМ модуль с собой забрать, раз уж злоумышленник получил физический доступ к компьютеру. Вроде этот стандарт предусматривает защиту и от таких ситуаций. Но я глубоко не вникаю, ясно, что обычным пользователям эта фича абсолютно не нужна.
Аппаратная поддержка AES в процессоре, на мой взгляд, более полезна. Протокол AES применяется в ситуациях, более близких к реальной жизни. Например, при работе Wi-Fi и при установке защищенного соединения VPN.
Продолжение экспериментов показало, что все вышеописанное относится только к материнкам ASRock. На MSI и Asus все замечательно работает на любой ОС — 7, 8.1 или 10. Что РТТ, что отдельный ТРМ.
Также протестировал встроенный ТРМ у AMD Ryzen. Там эта технология называется AGESA. Работает. Правда, удалось прогнать тест только на Windows 10.
Да, дополню. Я считаю, если вам не нужно шифрование диска с помощью BitLocker, то и ТРМ вам вообще не нужен. Нормальным людям нет смысла шифровать свой диск, это только где-нибудь в корпоративе требуется, да и то редко.
Поэтому стоит отключить в БИОСе как Platform Trust Technology, так и всю поддержку TPM.
Плюс в карму обеспечен
Если я правильно понял, то для работы с Ubuntu этот модуль можно отключить? Так?
Microsoft: Как проверить, поддерживает ли ваш компьютер TPM 2.0
Хотя на практике Windows 11 можно будет установить на компьютеры с TPM 1.2, в этом случае функциональность может быть ограничена.
Еще в 2016 году Microsoft заявляла, что все новые компьютеры должны поддерживать TPM 2.0, и эта функциональность должны быть включена. Существующие устройства на тот момент не были затронуты данным решением.
Теперь с запуском Windows 11 настает еще одна волна по интеграции TPM 2.0 в устройствах Windows. Microsoft утверждает, что большинство устройств, проданных за последние 5 лет, поддерживают TPM 2.0. Компания отмечает, что доверенный платформенный модуль требуется для работы таких функций безопасности, как Bitlocker или Windows Hello.
Microsoft признает, что TPM 2.0 может быть отключен на устройствах, где эта функция поддерживается. Windows 11 нельзя будет установить на такие компьютеры, даже если соблюдены все остальные системные требования.
Компания опубликовала официальное руководство, которое помогает выяснить, включен ли TPM и помогает включить его на устройствах, где физически присутствует микросхема.
Как проверить, поддерживает ли ваш компьютер TPM 2.0
Пользователи Windows 10 могут проверить поддержку TPM 2.0 двумя способами:
1 Способ
2 Способ
Для второго способа нужно будет воспользоваться консолью «Управление доверенным платформенным модулем (TPM) на локальном компьютере».
Если данная секция панели не отображается и вы получаете ошибку «Не удается найти совместимый доверенный платформенный модуль», то микросхема TPM отсутствует на материнской плате устройства или отключена в BIOS.
Как включить TPM 2.0 на вашем компьютере
Microsoft рекомендует пользователя перейти в Параметры > Обновление и безопасность > Восстановление > Перезагрузить сейчас, чтобы проверить UEFI BIOS. При следующем запуске ПК отобразится меню, в котором вам нужно будет перейти в раздел Устранение неполадок > Дополнительные параметры > Настройки прошивки UEFI > Перезагрузить, чтобы устройство загрузило настройки UEFI при следующем перезапуске.
Дальнейшие действия зависят от производителя и модели материнской платы. Иногда настройки можно найти в разделах BIOS с названиями Advanced, Security или Trusted Computing. Опция включения TPM также не стандартизирована — функция может обозначаться как Security Device, Security Device Support, TPM State, AMD fTPM switch, AMD PSP fTPM, Intel PTT или Intel Platform Trust Technology.
Не все устройства Windows совместимы с новой операционной системой Windows 11. Некоторые просто не соответствуют системным требованиям, у других отключен нужный функционал в BIOS. Реализация поддержки TPM в BIOS хаотична и не стандартизирована. Пользователям с небольшим опытом будет сложно узнать, поддерживается ли TPM и можно ли его включить в BIOS компьютера. Подробные руководства о поддержке Windows 11 и способах включения TPM 2.0 доступны на сайтах разработчиков:
AMD fTPM и Intel PTT: все, что вам нужно знать
С приближением Windows 11 многие люди начали обсуждать возможные последствия обновления до новой операционной системы, а также потенциальные препятствия, которые могут возникнуть на этом пути. Заявленные Microsoft требования к оборудованию некоторые сочли немного странными, особенно когда дело доходит до очевидной необходимости иметь на борту микросхему TPM.
Как оказалось, это не совсем так, поскольку и Intel, и AMD уже имеют решение, интегрированное во многие из своих чипов — либо на уровне чипа, либо в самой прошивке. С учетом сказанного, давайте посмотрим, что собой представляют эти две технологии.
Что такое микросхема TPM?
TPM расшифровывается как «Trusted Platform Module», и это микросхема, которая обрабатывает криптографию, связанную с использованием операционной системы на аппаратном уровне. Микросхемы TPM могут предоставлять системе ряд функций, таких как создание ключей безопасного шифрования и хеширование всей аппаратной конфигурации машины в уникальный ключ.
Чипы TPM используются для различных целей. Распространенным является защита зашифрованных дисков от атак на отдельном компьютере. Злоумышленник не сможет просто извлечь зашифрованный диск с помощью ключей TPM и попытаться расшифровать его на другом устройстве. Вместо этого у них всегда будет отсутствовать часть ключа.
В настоящее время многие ноутбуки поставляются с чипом TPM, и он стал стандартной функцией среди высокопроизводительных моделей, предназначенных для пользователей, заботящихся о безопасности. Что касается настольных компьютеров, это не то, что обычно включается в конфигурации по умолчанию. Но его можно легко купить и установить при условии, что на материнской плате есть соответствующая опора (подробнее об этом ниже).
AMD fTPM — это реализация на основе микропрограмм, обеспечивающая аналогичные функции. Технология работает аналогично подходу на основе микросхем, но не требует дополнительного оборудования для правильной работы. Одним из преимуществ fTPM является то, что он позволяет пользователям разблокировать устройства без необходимости каждый раз вводить пароль. Это может улучшить общий уровень безопасности компьютера.
Следует отметить, что fTPM «запечатывает» ключи шифрования в соответствии с определенными параметрами, включая текущую конфигурацию оборудования и прошивки. Это означает, что обновление микропрограммы системы может сделать запечатанное состояние недействительным, что потребует от пользователя использования ключей восстановления или других методов для получения доступа к своим данным.
Это не отличается от любой другой реализации TPM, включая выделенные микросхемы. Использование TPM означает, что вам придется тем или иным образом скорректировать свои привычки, если вы не хотите потерять данные, но в первую очередь это часть основной идеи технологии.
С другой стороны, решение Intel под названием PTT — сокращенно Platform Trust Technology — реализовано непосредственно в самом процессоре. Он по-прежнему обеспечивает более или менее те же функции, что и микросхема TPM или AMD fTPM, но базовая реализация отличается. Для среднего конечного пользователя это не должно иметь никакого значения. Скорее всего, вы не заметите никаких изменений при переходе от системы, использующей fTPM, в отличие от системы, использующей PTT.
Конечно, в этом случае вам все равно придется перенастроить шифрование и, вероятно, сгенерировать новые ключи, поскольку ваши старые будут несовместимы после аппаратного перехода. Но, в конце концов, для вас важно то, что оба решения взаимозаменяемы с точки зрения предоставляемой ими функциональности (за некоторыми исключениями). И что еще более важно, они являются правильным ответом на заявленные Microsoft аппаратные требования, даже если это может быть не сразу очевидно.
Могу ли я использовать эти решения вместо физического чипа TPM?
Сейчас у большинства людей возникает вопрос, можно ли использовать эти решения в качестве замены аппаратной реализации TPM на выделенном чипе. Хотя из официальных требований может показаться, что вам действительно нужен чип для использования операционной системы, это не так. Пользователи с относительно недавними чипами AMD и Intel должны иметь возможность установить Windows 11 без каких-либо изменений в оборудовании.
Единственное, что вам может потребоваться, — это войти в BIOS и изменить настройку, чтобы включить подходящее решение для вашей платформы. Это оно! Microsoft не уточнила, планируют ли они скорректировать свои требования или пользователи по-прежнему смогут устанавливать операционную систему на машины без реального чипа TPM.
Если это произойдет, возможно, вам действительно придется пойти и купить микросхему TPM. Сначала вам нужно будет убедиться, что ваша материнская плата поддерживает его, но процедура относительно проста. Однако, судя по всему, что мы видели вокруг развертывания Windows 11, вам, вероятно, не придется прибегать к этому в любой момент.
О чем нужно помнить
Текущая ситуация может измениться, а может и не измениться. Было много дискуссий об опубликованных требованиях Microsoft и их последствиях для рынка ПК в ближайшие пару лет.
Маловероятно, что компания собирается отступить на этом этапе и потребовать от пользователей специально устанавливать микросхемы TPM на свои машины. В конце концов, их конечная цель — сделать вещи более безопасными для обычного пользователя, а не доставлять им неудобства ненужными дополнениями, которые сложно достать.
Тем не менее, если вы в настоящее время создаете машину, убедитесь, что вы покупаете процессор, который специально поддерживает эту функциональность. Как мы уже говорили выше, вы можете купить и установить чип TPM отдельно позже. Но вы не должны полагаться исключительно на это, и вы должны сделать все возможное, чтобы подготовить свой компьютер с жизнеспособными альтернативами.
Подготовка к Windows 11
Можно ли ожидать других интересных событий в связи с выпуском Windows 11? Это вполне вероятно, по крайней мере, если посмотреть на прошлые прецеденты, такие как развертывание Windows 10.
У Microsoft есть некоторые конкретные идеи о том, как следует развертывать и использовать их операционную систему (ОС), и они делают все возможное, чтобы реализовать это видение в своих новых выпусках.
Модули TPM: что нужно знать эксперту-криминалисту
Исследование компьютера, системный накопитель которого зашифрован посредством BitLocker, может оказаться намного сложнее, если ключ шифрования основан не на установленном пользователем пароле, а на данных, которые защищены аппаратным модулем TPM. В этом исследовании рассказывается об особенностях защиты ключей в TPM и возможных способах обхода этой защиты.
Что такое TPM и как он мешает исследовать компьютер
Trusted Platform Module (TPM) — система хранения криптографических ключей в персональных компьютерах. Она может быть реализована как в виде отдельного чипа, установленного на материнской плате компьютера, так и являться частью центрального процессора (технология Intel PTT). Отдельный чип TPM чаще всего распаян на материнской плате, но для некоторых плат поставляется отдельным модулем.
Чипы TPM Infineon Optiga:
Отдельный модуль TPM для материнских плат Asus:
Система состоит из криптографического процессора и встроенной памяти. Официально устройства с TPM в Россию не поставляются, так как содержат несертифицированные средства шифрования. Однако, наши российские коллеги регулярно сталкиваются с компьютерами, на которых этот чип присутствует. TPM обеспечивает генерацию, хранение и ограничение использования криптографических ключей. Операционные системы предоставляют разработчикам интерфейсы для работы с TPM, а также используют TPM для работы с ключами шифрования.
В этой статье я расскажу про Windows Bitlocker, который используется для шифрования дисков, и который может для этих целей использовать TPM модуль.
При проектировании системы шифрования дисков разработчики Windows использовали модель угроз, предотвращающую следующие события:
— Логин в операционную систему в обход пароля пользователя
— Перенос диска на другой компьютер и его анализ
— Изменение конфигурации компьютера с целью анализа диска
— Запуск на компьютере других операционных систем для доступа к диску
Но при этом для пользователя использование системы не представляет никаких неудобств, и в большинстве случаев ему достаточно просто включить компьютер и ввести свой пароль. Защиту можно усилить, установив на Bitlocker пин-код или сохранив секретный элемент на USB накопителе.
Как устроена защита
BitLocker использует симметричное шифрование диска, как и остальные подобные приложения. Шифрованием диска занимается центральный процессор. Основным секретным элементом является мастер-ключ, который может быть получен следующими способами:
1. Расшифрован паролем на диск, если используется такая защита.
2. Расшифрован ключом восстановления (Recovery Key). Ключ восстановления генерируется при создании любого контейнера или диска BitLocker и сохраняется пользователем либо в файл, либо в облако Microsoft. При некоторых условиях ключ сохраняется в облако Microsoft автоматически, без уведомления пользователя.
3. Извлечен из TPM модуля при соблюдении определенных условий.
Работа Bitlocker с системой TPM:
Работа TPM модуля очень напоминает блокчейн. Строится «цепочка доверия», которая сохраняется в регистрах PCR (Platform Configuration Register).
Рассмотрим работу TPM модуля по шагам:
1. Включаем компьютер. Управление передается первому «доверенному» модулю, который имеет название SRTM (Static root of trust for measures). Обычно этот модуль находится в ПЗУ материнской платы и не может быть изменен. Уязвимость в этом модуле может поставить под угрозу всю систему безопасности. Эффект подобной уязвимости можно наблюдать в эксплоите checkm8 для платформы Apple iOS. SRTM делает первую запись в цепочке: считает хеш от программного кода BIOS и записывает его в регистр PCR
2. Управление передается UEFI BIOS-у, который формирует дальнейшие компоненты цепочки. Анализируется конфигурация компьютера, разбивка жесткого диска, загрузчик (boot loader), загрузочные секторы диска (Master Boot Record) и множество других параметров. При этом в хешировании полученных данных участвует и предыдущий регистр PCR. Таким образом, все компоненты цепочки связаны между собой и любое нарушение приведет к изменению содержимого PCR регистров.
3. Заполнив несколько PCR регистров, BIOS передает управление загрузчику, который запускает код из MBR жесткого диска. Еще несколько записей в цепочке загрузки.
4. Наконец, запускается ядро операционной системы, которое тоже записывает в цепочку свои параметры.
Таким образом, при загруженной операционной системе мы получаем уникальный набор контрольных сумм, хранящихся в PCR регистрах модуля TPM. Модуль TPM не позволяет произвольным образом изменить содержимое PCR регистров; можно лишь добавить очередной компонент цепочки.
Загрузка компьютера с TPM модулем:
Итак, пользователь включил шифрование жесткого диска BitLocker. По случайному закону генерируется мастер-ключ, а также ключ восстановления. Мастер-ключ записывается в модуль TPM, а также шифруется при помощи ключа восстановления и в таком виде сохраняется в заголовке диска. При перезапуске компьютера происходит следующее:
1. Все PCR регистры обнуляются.
2. Происходит инициализация, запуск BIOS, bootloader, MBR, ядра операционной системы.
3. Операционная система пытается получить ключ шифрования диска из TPM. При запросе TPM чип анализирует содержимое цепочки, хранящейся в регистрах PCR. Если цепочка повреждена, ключ шифрования не выдается, при этом выдается сообщение о необходимости ввода ключа восстановления.
Таким образом, при выключенном компьютере мы можем получить ключ шифрования диска только в случае запуска оригинальной системы. Изменение любого компонента системы приведет к необходимости ввода Recovery ключа.
Как работать с защитой TPM
Чаще всего к нам в руки попадает выключенный компьютер, о конфигурации которого ничего неизвестно. Самый первый шаг, который необходимо сделать в этой ситуации – снять побайтовый образ диска. Это можно сделать, например, при помощи утилиты Elcomsoft System Recovery. Перед снятием образа мы увидим список разделов диска, а также способ их шифрования, если он присутствует. Если мы имеем дело с защитой диска при помощи TPM, программа сообщит, что диск зашифрован BitLocker-ом, но хеш пароля извлечь невозможно. Для расшифровки диска понадобится найти либо ключ восстановления, либо мастер-ключ, хранящийся в TPM модуле. В этой статье я не буду останавливаться подробно на механизмах получения ключа восстановления. Отмечу лишь, что он может быть сохранен пользователем в файл на другом диске, в Active Directory, а также в облако Microsoft. В следующих разделах мы рассмотрим различные способы получения мастер-ключа из модуля TPM.
Получение мастер-ключа из памяти компьютера
После снятия образа диска можно попробовать включить компьютер и загрузиться с основного диска, защищенного BitLocker-ом. Если пользователь не установил пароль на вход в операционную систему, либо этот пароль известен, диск расшифруется полученным из TPM ключом. Исключение составляет ситуация, когда доступ к модулю TPM защищен дополнительным PIN-кодом. При нескольких попытках неправильного ввода такого кода модуль TPM блокирует доступ к мастер-ключу и доступ к диску становится возможным только при вводе Recovery ключа. Если у нас получилось загрузить ОС и залогиниться, мастер-ключ BitLocker-а находится в памяти компьютера. Его можно найти, используя портативную версию Elcomsoft Forensic Disk Decryptor. Этой же программой можно подключить снятый образ диска для анализа.
Конечно же, в этом случае возможен и анализ загруженной системы с активной пользовательской сессией. Но получение мастер-ключа и работа с образом более надежна; помимо прочего, мы получаем абсолютно точный образ системы, которая была изъята, без изменений, произошедших при старте ОС. Наши иностранные коллеги называют такой подход “forensically sound”.
Атаки методами холодной загрузки и через порты FireWire/Thunderbolt
Если загрузка ОС произошла успешно, но невозможно войти в систему, так как неизвестен пароль пользователя, можно попробовать прочитать содержимое памяти компьютера. Существует два известных способа: прямой доступ к памяти через шину PCI и метод «холодной загрузки» (cold boot).
К сожалению, такой способ работает только для Windows 7 и 8. В более старших версиях Windows доступ DMA через Thunderbolt уже закрыт. Дамп памяти, сделанный в inception, можно загрузить в Elcomsoft Forensic Disk Decryptor и, как уже было описано выше, найти мастер-ключ, с помощью которого можно либо полностью расшифровать образ диска, либо подключить его к системе для анализа.
Еще один вид атаки основан на том, что содержимое оперативной памяти компьютера обнуляется не мгновенно, а лишь спустя несколько секунд после выключения питания. Многие модули памяти способны сохранять свое состояние в течение нескольких минут и иногда даже часов, если их охладить до отрицательной температуры. На этом их свойстве и основана атака методом «холодной загрузки» (cold boot). Для атаки нам потребуется любой баллончик с хладагентом, например, предназначенный для тестирования термонестабильных электронных компонентов.
Включаем исследуемый компьютер, замораживаем память при помощи баллончика, сразу отключаем питание (ни в коем случае нельзя делать штатный shutdown средствами операционной системы), перезагружаемся с USB накопителя с Linux, на котором установлено расширение ядра LiME.
Далее создаём дамп оперативной памяти. Признаюсь честно, в нашей лаборатории мы ни разу не делали этот тип атаки. Но некоторые наши партнеры рассказывали, что у них получалось воспроизвести такую атаку и получить дамп памяти. Если других способов не осталось, вполне можно попробовать!
Заморозка памяти ноутбука:
Атака на TPM модуль через Sleep Mode
В любых системах обеспечения безопасности встречаются уязвимости. Не избежали этой участи и модули TPM. В 2018 году корейские исследователи Seunghun Han, Wook Shin, Jun-Hyeok Park и HyoungChun Kim из National Security Research Institute представили на конференции Usenix научную работу под названием «Страшный сон».
Когда компьютер уходит в «спящий режим», TPM сохраняет свое состояние в NVRAM, а при выходе из этого режима восстанавливает его. И вот в этот момент некоторые модели модулей TPM позволяют подменить содержимое PCR регистров. Модуль TPM также ведет свой внутренний журнал, что позволяет узнать всю «цепочку доверия» в тот момент, когда в штатном режиме загружалась Windows, и модуль отдавал мастер-ключ шифрования диска. Исследователи тут же поставили в известность крупнейших производителей материнских плат: Intel, Lenovo, Gigabyte, Dell, hp. Уязвимость была закрыта в обновлениях BIOS. Однако очень немногие пользователи устанавливают обновления BIOS, так что в мире ещё много компьютеров, уязвимых к этой атаке.
Seunghun Han написал две утилиты:
Имеет смысл запустить сначала его; это утилита для проверки TPM модуля на предмет наличия уязвимости «страшных снов». На странице есть ссылка на скачивание образа Live CD; достаточно записать его на USB накопитель (я для этих целей обычно пользуюсь отличной отечественной программой Rufus) и загрузить с нее исследуемый компьютер. К сожалению, все компьютеры в нашей тестовой лаборатории оказались неуязвимыми к этой атаке.
К сожалению, ее нет в виде Live CD, поэтому придется повозиться сначала с установкой Ubuntu на USB накопитель или внешний диск, а потом собрать и установить Bitleaker согласно инструкции. Для загрузки этой системы нужно либо отключить Secure Boot, либо подписать модифицированные загрузчик и ядро своей подписью и внести публичный ключ в BIOS компьютера. Подробную инструкцию можно найти, например, здесь.
Учтите, что добавление нового доверенного сертификата тоже изменяет содержимое регистров PCR, поэтому я бы советовал просто отключить Secure Boot при загрузке.
Атака на TPM путем анализа сигналов
Модуль TPM «общается» с компьютером через шину данных LPC (Low Pin Count). Эта шина используется для передачи данных от «медленных» устройств, к примеру, последовательных портов COM, и имеет частоту всего 33 МГц. Передаваемые по шине данные никак не зашифрованы, поэтому у нас есть возможность перехватить передаваемый мастер-ключ путем анализа сигналов. Denis Andzakovic показывает нам, как у него это получилось для TPM версий 1.2 и 2.0.
Для версии 1.2 он использует логический анализатор DSLogic Plus (цена в России около 10 тыс рублей), имеющий интерфейс USB и позволяющий анализировать до 16 каналов одновременно. Впрочем, этот анализатор автор не советует использовать, так как пришлось решать проблемы с синхронизацией и даже патчить его прошивку. Но, тем не менее, результат получен и мастер-ключ успешно извлечен из модуля.
Для версии 2.0 использовалось еще более дешевое устройство — Lattice ICEStick. Это FPGA модуль с интерфейсом USB, в который можно залить прошивку, предназначенную специально для сниффинга TPM модулей.
Осталось лишь аккуратно припаять проводки к нужным ножкам TPM чипа (для материнских плат, в которых модуль TPM вставляется в специальный разъём, достаточно просто подключиться между разъёмом и модулем), включить сниффер и получить мастер-ключ.
Конечно же, если BitLocker защищен еще и пин-кодом, такой способ не сработает. Очевидно, что этот способ не работает и для Intel PTT, так как мы не имеем физического доступа к интерфейсу модуля.
FPGA Lattice iCEStick:
Подключение TPM чипа:
Модуль TPM в сочетании с BitLocker обеспечивает достаточно стойкую защиту дисков от несанкционированного доступа. Несмотря на то, что сам чип не занимается шифрованием диска, в отличие от, например, чипа T2, получить доступ к ключу шифрования — непростая задача. Все описанные способы извлечения, безусловно, должны быть в арсенале эксперта-криминалиста и использоваться в соответствии с ситуацией.
Обычно этот модуль находится в ПЗУ материнской платы и не может быть изменен
что имеется в виду здесь? Энтот ПЗУ во флехе биоса или ещё допом микруху сделали?
Модули TPM: что нужно знать эксперту-криминалисту
Официально устройства с TPM в Россию не поставляются, так как содержат несертифицированные средства шифрования.
Одну половину мы помыли Fairy.
Счастье
Цитата, которая просится в народ!
Таксист
Зато без налога
Новый элемент в фигурном катании
Вчера на гран-при Франции. Венгерская пара Юлия Щетинина и Марк Мадьяр.
Доказательство ОТО!
Можно ли не поститься?
После ДТП с обочечниками на МКАДе
Ответ на пост «Муфтий Москвы, просит обустроить метро Москвы для мусульман»
Может сначала сделать в метро туалеты и поставить урны?
Ах да, безопасность.
Пошутила, называется
Ответ на пост «Общенациональный локдаун и обязательная вакцинация»
Вы прячете невакцинированных людей под своими половицами не так ли?
Ответ на пост «Пара слов об агрессивных комментаторах»
Он вышел из дома и открыв огонь из своего дедовского ружья, отстрелил Алёше мужские причиндалы, отчего тот и помер в машине скорой.
Кошки разные нужны
Такие дела
Нет ничего приятнее осознания того, что ты красивее новой девушки своего бывшего
Тот факт, что он больше не ведется только на внешность, означает, что ты преподала ему ценный урок
Забавное фото
Телевидение
Яблоки
— Сынок, купи яблочки, свои, домашние, не кропленные.
Именно это «не кропленные» и заставило Александра остановиться и обернуться. Так говорила всегда его бабушка в далёком детстве: не опрыскать, а покропить.
Старушка с кучкой яблок оживилась и быстро затараторила:
Александр невольно рассмеялся после этих слов:
— Так они у Вас все червивые?
Александру эти яблоки были и даром не нужны, он просто, проходя через вечерний базар, срезал угол на пути к дому. Но что-то в облике этой бабки, в её манере говорить, в открытом бесхитростном взгляде, в её способе убеждения червячком в правдивости своих слов напоминало его родную бабушку. Какое-то, давно забытое, чувство тёплой волной разлилось в груди, и Сашке захотелось сделать что-нибудь хорошее для этой старушки, торговавшей на базаре. Поэтому, не торгуясь, он купил два килограмма этих яблок, сам не зная зачем, рассказав, что у него дома сынишка приболел (он вообще здоровьем слабенький), кашляет и жена в положении, и что, наверное, им будет полезно не кропленные яблочки поесть. В общем, сам не понимая почему, Александр поделился с этой незнакомкой самым сокровенным, что мучило его душу.
Бабка охала, вздыхала, качала головой, приговаривая, что сейчас старики здоровее молодых, потому как, разве в городах сейчас еда? Это ж сплошная химия, и сам воздух тут тяжёлый и больной. Он кивал и соглашался. Когда уже собрался уходить, бабка вдруг схватила его за руку:
— Слушай, приходи завтра сюда же, я тебе липы сушёной привезу да баночку малины с сахаром перетёртой, от простуды первое дело. Так я привезу, ты приходи завтра.
Александр шёл с яблоками домой и улыбался, на душе было хорошо, как в детстве, когда бабушка гладила по голове своей шершавой натруженной рукой и говорила: «Ничего, Сашок, всё будет хорошо».
Родителей своих Сашка не знал. Бабушка говорила, что отца его она и сама не знает, а мать… мать непутёвой была. Как привезла его однажды из города, в одеяльце завёрнутого, так и укатила обратно. Обещала забрать, как жизнь свою наладит, да так и сгинула.
Бабушку Сашка любил. Когда она, бывало, зимними вечерами тяжело вздыхала, вспоминая дочь свою пропащую, прижимала голову внука к груди, целовала в макушку, он говорил:
— Не плачь, ба. Я когда вырасту, никогда тебя не брошу, всегда с тобой жить буду. Ты мне веришь?
А когда Сашке исполнилось двенадцать лет, бабушки не стало. Так он очутился в школе-интернате. Бабушкин дом продали какие-то родственники (это когда они вдвоём с бабушкой жили, то Сашка думал, что они одни на белом свете, а когда речь о наследстве зашла, претендентов оказалось немало).
Кто жил в детдоме, тому не надо рассказывать все «прелести» пребывания в подобных учреждениях, а кто не жил, тот до конца всё равно не поймёт. Но Сашка не сломался и по кривой дорожке не пошёл. Отслужил в армии, приобрёл профессию. Вот только с девушками ему не везло. И хотя сам Сашка был высоким, спортивного телосложения, симпатичным парнем, все его подруги, узнав о том, что он сирота, быстро исчезали с его горизонта. Поэтому, когда пять лет назад он случайно столкнулся в супермаркете со Светкой (они воспитывались в одном детдоме), то обрадовался, как самому родному и близкому человеку. Света тоже была очень рада встрече. А через полгода они поженились, родился сын, вот сейчас дочку ждут. И, в общем-то, жизнь наладилась.
Света, выросшая с рождения в детском доме, пропустила все эти эпитеты мимо ушей. Она помыла яблоки, положила в большую тарелку и поставила на стол. А спустя полчаса в комнате уже витал яблочный аромат.
— Так домашние же, не кропленные…
Этой ночью Александру снилась бабушка. Она гладила его по голове, улыбалась и что-то говорила. Сашка не мог разобрать слов, но это было и не важно, он и так знал, что бабушка говорила что-то хорошее, доброе, ласковое. От чего веяло покоем и счастьем, забытым счастьем детства.
Звук будильника безжалостно оборвал сон.
Весь день на работе Александр ходил сам не свой. Что-то беспокоило, какая-то непонятная тоска грызла душу, к горлу периодически поднимался ком. Возвращаясь домой, он поймал себя на мысли о том, что очень хочет опять увидеть ту бабку с яблоками на базаре.
Евдокия Степановна (так звали бабку, торговавшую яблоками) слонялась по двору, тяжело вздыхала, раз за разом вытирая набегавшие на глаза слёзы. Давным-давно её старший сын погиб при исполнении служебных обязанностей (пожарником был), даже жениться не успел, а младшая дочь, красавица и умница, когда училась в институте в столице, вышла замуж за африканца и укатила в жаркий климат, где растут бананы и ананасы. Муж её покойный долго бушевал и плевался по этому поводу. А она что? Она только плакала, предчувствуя, что не увидит свою девочку больше никогда. Так и вышло. Пока ещё был жив муж, держалась и она. Ну, что же делать, раз жизнь так сложилась? А как два года назад мужа не стало, померк свет в душе Евдокии Степановны. Жила больше по привычке, прося бога, чтобы забрал её побыстрее в царство покоя.
Этот молодой человек, что купил вчера яблоки, растравил ей душу. Ведь чужой совсем, а как хорошо с ней поговорил, не отмахнулся… Что-то было в его глазах… какая-то затаённая тоска, боль, она это сразу почувствовала. Её материнский инстинкт прорвался в словах: «Приходи завтра сюда же, я тебе липы сушёной привезу да баночку малины с сахаром перетёртой, от простуды первое дело. Так я привезу, ты приходи завтра».
И вот сейчас, заворачивая в газету банку с малиновым вареньем, Евдокия Степановна непроизвольно улыбалась, думая, что бы ещё такого захватить для этого парня и его семьи. Очень уж хотелось ей порадовать человека и, конечно же, ещё немного поговорить, как вчера.
Вчерашнее место за прилавком было занято, и Евдокия Степановна пристроилась неподалёку, в соседнем ряду. Выложив кучкой яблоки, она всё внимание сосредоточила на проходящих людях, чтобы не пропустить.
Саша свернул в ту часть базара, где вчера стояла бабка с яблоками, пошёл вдоль прилавка, не видно бабки. «Тьху, дурак, развели, как малого пацанёнка, хорошо что вчера, с дуру, Светке не похвастал обещанной малиной». Настроение мгновенно испортилось, не глядя по сторонам Саша ускорил шаг.
Она радостно схватила его за локоть, потянула за собой и всё тараторила:
— Место занято было, я тут рядом пристроилась, боялась, пропущу, думала, придёшь ли? Я ж всё привезла, а думаю, вдруг не поверил бабке…
Бабка всё «тарахтела» и «тарахтела», но Александр не прислушивался к словам, он на какой-то миг душой перенёсся в детство. Эта манера разговора, отдельные слова, выражения, движения рук, взгляд, в котором затаилось желание обрадовать человека своими действиями, всё это так напоминало его родную бабушку.
Он спросил: сколько должен, Евдокия Степановна замахала руками, сказав, что это она со своих кустов для себя варила, и принимать это надо, как угощение. А ещё говорила, что малина у неё не сортовая, а ещё та, старая, не такая крупная и красивая на вид, но настоящая, душистая и очень полезная. И Сашка вспомнил бабушкину малину, её запах и вкус, а ещё ему почему-то вспомнилась картошка. Жёлтая внутри, она так аппетитно смотрелась в тарелке, а вкусная какая. После смерти бабушки он никогда больше не ел такой картошки.
— А картошка жёлтая внутри у Вас есть? – перебил он старушку.
— Есть и жёлтая, и белая, и та что разваривается хорошо, и твёрденькая для супа.
— Милок, завтра суббота, выходной. А ты приезжай ко мне в деревню, сам посмотришь какая у меня картошка есть, у меня ещё много чего есть… Старая я уже, тяжело мне сумки таскать, а ты молодой, тут и ехать-то недалече, всего сорок минут на электричке. Приезжай, я не обижу…
И Сашка поехал. Не за картошкой, а за утраченным теплом из детства.
— Наташа, печенье точно свежее? – озабоченно вопрошала уже второй раз Евдокия Степановна.
— Да, говорю ж Вам, вчера привезли, ну, что Вы, ей богу, как дитё малое? – отвечала продавщица.
— Дети ко мне завтра приезжают с внучатами, потому и спрашиваю. Дай-ка мне одно, попробую.
— Ой, и не говори. Чужие люди, оберут до нитки, а то и по башке стукнут, дом-то хороший. Василий покойный хозяином был. Говорила ей сколько раз, отмахивается.
— Взвесь мне кило, хорошее печенье.
Евдокия Степановна, не спеша, шла домой и улыбалась. Что ей разговоры? Так, сплетни всякие. Родные – не родные, какая разница. Где они эти родные? За столько лет и не вспомнили о ней. А вот Саша со Светой помогают, да и не в помощи дело…
Александр посмотрел на своё семейство, улыбнулся, махнул рукой:
Они сидели в электричке, дети смотрели в окно, периодически оглашая вагон восторженными криками: «Смотри-смотри!» А Саша со Светой просто улыбались, ни о чём особо не думая. Ведь это так здорово, когда у тебя есть бабушка, которая всегда ждёт!