Trusted Platform Module

TPM čip je hardwarové bezpečnostní zařízení založené na standardu ISO/IEC 11889 specifikované skupinou Trusted Computing group v roce 2003. Od roku 2005 je prakticky každý notebook vybaven tímto bezpečnostním zařízením, které je z praktického pohledu kryptočip s vestavěnou trvalou a univerzální pamětí, pro bezpečné ukládání šifrovacích klíčů a mnoho dalších výjimečných funkcí (obr. 1). Zjednodušeným pohledem lze říci, že jde o čipovou kartu, která je pevně spojena se základní deskou počítače. Praktickou funkcí tohoto bezpečnostního zařízení je vynutit stav kdy uživatel/zařízení smí využít svoji digitální identitu pouze na konkrétním zařízení bez možnosti přenést tuto identitu na soukromé, či cizí zařízení.

Praktické možnosti využití technologie TPM v praxi:

  • 802.1x jednoznačná identifikace zařízení -

o   na základě certifikátu uloženém v TPM zařízení, které je nativně dostupné v Computer Store  MS CAPI

o   na základě jedinečného (nezcizitelného) RSA klíče generovaného při prvním uvedení do provozu bezpečnostního zařízení TPM

  • bezpečné úložiště privátních klíčů generovaných standardními certifikačními autoritami, nativně propojené s Microsoft CAPI (Microsoft Base Crypto Service Provider) – pro využití například s VPN zabezpečením, šifrováním e-mailové komunikace a ostatních PKI služeb
  • šifrování dat pomocí kryptočipu s privátními klíči uloženými v bezpečném úložišti vestavěné univerzální či trvalé paměti nebo uloženými mimo vlastní TPM modul
  •  Smart Card aplety v universální paměťi pro nahrání specifických služeb
  • Generátor pseudonáhodných čísel (PRNG) pro  šifrování, počítačové simulace a modelování
  • Virtuální Smart Card (VSC) je vhodná například pro 2. faktorovou autentizaci uživatelů nebo tam kde je nutno chránit privátní klíče jinou formou autentizace než je jeho vlastní  fyzický účet v tomto počítači obvykle například povinným PIN kódem. Nejčastěji se používá pro VPN autentizaci, podepisování komunikace/dokumentů, SmartCard Logon. VSC tak nahrazuje povinnost vlastnit nějaký externí autentizační prostředek (např. SmartCard / USB token) vlastním prostředkem, který je napevno vestavěn v počítači (a tím splňuje podmínku 2.FA o vlastnictví dalšího autentizačního prvku v kombinaci s tím co uživatel zná) a tím znemožňuje jeho použití/zneužití mimo vlastní techniku uživateli svěřenou.
  •  Integrita Platformy v kontextu „práce dle očekávání“ kde modul sleduje systém od spuštění počítače po období, než je zaveden vlastní operační systém a jeho služby. Společně s BIOS tvoří TPM tzv. „Root of Trust“ kde pomocí PCR (nastavovací registr platformy)umožňuje uložení /nahlašování bezpečnostních metrik zařízení.

 

Pokud budeme sledovat praktický dosah přidané hodnoty technologie bezpečnostního prvku TPM na bezpečnostní pravidla a funkce v rozsahu který byl až dosud problematický:

  • Sledováním bezpečnostních metrik spouštěcího prostředí lze jednoznačně identifikovat změny ve spouštěcím prostředí systému, které obvykle znamenají kompromitaci systému perzistentním kódem (rootkit) ve spouštěcí oblasti (BIOS/firmware/boot sector/systém) a tím jednoznačně identifikovat zdraví celého systému v oblastech kde obvykle aplikované systémy ochrany selhávají.
  •  Jednoznačná identifikace zařízení bez možnosti tuto identitu podvrhnout poskytuje dostatečnou bezpečnostní výhodu proti ostatním způsobům identifikace ať už uživatelské identity, nebo identity zařízení. V rámci 802.1x autentizace je tak v konkurenci s režimy autentizace vůči MAC adrese síťového adaptéru nebo certifikátu zařízení uloženého v lokálním úložišti certifikátů zařízení, které je možné velmi snadno podvrhnout, proto neposkytují dostatečnou úroveň důvěryhodnosti.
  • Virtuální čipová karta přináší technologii 2FA autentizace, nebo bezpečnějšího provozování prvků PKI i do organizací které s nasazením vícestupňové ochrany, nebo digitální identity uživatelů dosud váhaly z důvodu vysokých pořizovacích nákladů a přílišné komplikovanosti řešení založených na externích autentizačních prvcích (SmartCard/USB token). Lokální bezpečné úložiště certifikátů a plná multiplatformní podpora technologie založená na průmyslovém standardu respektovaném všemi výrobci HW bez rizika že uživatel svůj autentizační prostředek (vlastní počítač) nebude doma zapomínat.
  • Dostupnost privátních klíčů zabezpečených proti jejich zneužití exportem, případně doplněná o bezpečnostní ověření (PIN) umožňuje využívat schéma PKI i pro účely které mimo technologie čipových karet není možné považovat za bezpečné.

Přílohy:

Co je to TPM