Bosh sahifa Wiki TPM

TPM

TPMkompyuter va boshqa qurilmalarda cryptographic key, platforma holati va device identity’ni himoyalash uchun ishlatiladigan maxsus xavfsizlik moduli. To‘liq nomi Trusted Platform Module. U alohida chip, firmware asosidagi modul yoki platformaga integratsiyalangan xavfsiz komponent ko‘rinishida bo‘lishi mumkin.

TPM odatda bitta qurilmaga bog‘langan trust root sifatida ishlaydi. U umumiy-purpose HSM o‘rnini to‘liq bosmaydi.

Trust root

TPM platformaning ishonch zanjiriga boshlang‘ich nuqta beradi.

U:

  • key yaratish;
  • keyni qurilmaga bog‘lash;
  • boot holatini o‘lchash;
  • secretni ma’lum holatga bog‘lab saqlash;
  • attestation;
  • random number generation

kabi vazifalarni bajarishi mumkin.

Endorsement Key

TPM ichida qurilma identity’siga oid uzoq muddatli key mavjud bo‘lishi mumkin.

Bu key Endorsement Key deb ataladi.

U to‘g‘ridan-to‘g‘ri barcha applicationlarda ishlatilmaydi.

Privacy va provisioning uchun alohida attestation keylari yaratilishi mumkin.

Storage Root Key

TPM key hierarchy ichida boshqa key va secretlarni himoyalovchi root mavjud bo‘ladi.

Key material TPM ichida yaratilishi va encrypted blob shaklida tashqarida saqlanishi mumkin.

Blob faqat mos TPM va policy bilan qayta ochiladi.

Platform Configuration Register

PCR — boot va platforma holatiga oid measurement hashlarini saqlaydigan registerlar.

Boot jarayonida:

hashlari PCRlarga extend qilinadi.

PCR oddiy qiymatni almashtirish emas, oldingi va yangi measurementni hash zanjiriga qo‘shish orqali yangilanadi.

Measured Boot

Measured Boot boot componentlarini o‘lchab, natijani TPM PCRlarida saqlaydi.

Bu componentni avtomatik bloklashdan farq qiladi.

Keyinchalik tizim yoki remote verifier qaysi code yuklanganini baholashi mumkin.

Secure Boot va Measured Boot birga ishlashi mumkin.

Secure Boot bilan farqi

Secure Boot faqat ishonchli signature’ga ega boot componentlarni yuklashga ruxsat beradi.

Measured Boot esa yuklangan componentlarni o‘lchab log va PCRga yozadi.

Biri enforcement, ikkinchisi evidence va attestationga yaqin.

Sealing

Secret ma’lum PCR qiymati yoki policy’ga bog‘lab shifrlanadi.

Bu sealing deb ataladi.

Masalan, disk encryption key faqat kutilgan boot holatida ochiladi.

Boot component o‘zgarsa TPM secretni avtomatik bermasligi mumkin.

Unsealing

Platforma policy shartlariga mos bo‘lsa sealed secret ochiladi.

Agar firmware update yoki boot configuration qonuniy o‘zgarsa PCR qiymati ham o‘zgarishi mumkin.

Recovery key va yangi policy bilan resealing jarayoni kerak bo‘ladi.

Disk encryption

Full-disk encryption key TPM bilan himoyalanishi mumkin.

Normal bootda TPM keyni avtomatik ochadi.

Shubhali boot yoki disk boshqa qurilmaga ko‘chirilsa recovery credential talab qilinadi.

TPM diskdagi data’ni o‘zi bulk shifrlashi shart emas; u encryption keyni himoya qiladi.

Attestation

TPM platforma holati haqidagi signed evidence yaratishi mumkin.

Remote service:

  • qurilma haqiqiymi;
  • ma’lum boot holatidami;
  • approved software yuklanganmi

degan savollarni baholaydi.

Attestation qarori reference measurement va freshnessga tayanadi.

Quote

PCR qiymatlari nonce bilan birga attestation key orqali imzolanishi mumkin.

Nonce eski attestation response’ni replay qilishni cheklaydi.

Verifier signature, nonce va measurement logni tekshiradi.

Device identity

TPM qurilmaga bog‘langan private key yaratishi mumkin.

Bu key:

uchun ishlatilishi mumkin.

Keyni export qilish cheklangan bo‘lishi ehtimoli bor.

Random generator

TPM cryptographic random qiymat bera oladi.

Application ko‘pincha operatsion tizimning umumiy random API’sidan foydalanadi.

OS turli entropy manbalarini, jumladan hardware signalini birlashtirishi mumkin.

Dictionary attack protection

TPM authorization qiymatini ko‘p marta noto‘g‘ri sinashga qarshi lockout yoki throttling mexanizmiga ega bo‘lishi mumkin.

Bu PIN yoki secret brute-force’ini qiyinlashtiradi.

Recovery va enterprise boshqaruv jarayoni lockout holatini hisobga oladi.

Firmware TPM

Ba’zi platformalarda TPM funksiyasi alohida chip emas, trusted execution environment yoki firmware orqali amalga oshiriladi.

Security boundary va certification discrete TPMdan farq qilishi mumkin.

Tizim inventarida modul turi va firmware versioni saqlanadi.

TPM va HSM

TPM odatda bitta endpointga bog‘langan, nisbatan cheklangan operation va capacityga ega.

HSM central service, CA, payment yoki katta hajmdagi key management uchun ishlatilishi mumkin.

TPM platform trust va local key sealing uchun kuchli.

Recovery

Motherboard yoki TPM ishdan chiqsa sealed key ochilmasligi mumkin.

Shu sababli disk encryption recovery key:

bilan boshqariladi.

Recovery keyni qurilmaning o‘zida plaintext saqlash mumkin emas.

Event log

Measured Boot faqat PCR qiymatini emas, qaysi componentlar qanday tartibda o‘lchanganini ko‘rsatuvchi event logni ham beradi. Verifier logdan PCRni qayta hisoblab, noma’lum boot componentini topishi mumkin.

Clear va ownership

TPM reset yoki clear qilinsa ichki key hierarchy va sealed secretlar yaroqsiz bo‘lishi mumkin. Enterprise provisioning, ownership va recovery tartibi oldindan belgilanadi. Qurilmani boshqa userga berishda eski identity va keylar xavfsiz tozalanadi.

Firmware update

TPM yoki platform firmware yangilanishi measurement va compatibilityga ta’sir qiladi. Update oldidan recovery key mavjudligi tekshiriladi. Qonuniy yangilanishdan keyin yangi trusted baseline tasdiqlanadi.

Bog‘liq tushunchalar

Trusted Platform Module, Platform Configuration Register, Measured Boot, Secure Boot, Sealing, Attestation, Endorsement Key, Disk encryption, HSM, Hardware root of trust