proceso de arranque de TPM

5

Suponga que la partición de archivo donde residen el sistema operativo de la PC y los datos del usuario están sellados por una serie de PCR (registros de configuración de plataforma) dedicados a las mediciones del BIOS. ¿Qué sucede durante el proceso de arranque si la BIOS está infectada por un kit raíz?

Bootstrapping Trust con un TPM:
Cuando se enciende la máquina, la raíz de confianza para la medición mide automáticamente el BIOS y extiende un registro de PCR dentro del TPM con esa medición. Luego, el control se transfiere a la BIOS. El BIOS luego mide el cargador de arranque antes de transferirle el control. Este proceso continúa con la carga del kernel del sistema operativo. El núcleo luego mide todo el código que se carga para su ejecución antes de transferirle el control.

Esto significa que la primera certificación de BIOS (el hash calculado no es el mismo que antes, porque la BIOS está infectada por un kit raíz) fallará. Por lo tanto, el control no se transfiere al cargador de arranque y el sistema operativo no se inicia.

    
pregunta niklr 24.08.2012 - 13:51
fuente

1 respuesta

5

El TPM no detiene el arranque. El arranque continuará, pero los PCR tendrán un valor diferente en ellos de lo que solían hacerlo (ya que ahora el BIOS es diferente de lo que era antes). Como resultado, el sistema no podrá abrir los datos sellados. Por supuesto, si el gestor de arranque o el kernel no puede abrir la partición sellada, dependiendo de cómo esté escrito, puede o no continuar la ejecución sin acceso a los datos sellados.

Fondo: cuando sella datos, los datos se cifran bajo una clave asociada con un estado particular del TPM. Posteriormente, solo puede desbloquear los datos si el TPM está en el mismo estado. Cuando digo "estado", me refiero al estado de los PCR.

Ejemplo: suponga que encripta su unidad con BitLocker. BitLocker sella los datos en su disco duro, asociados con un estado particular del TPM (es decir, asociado con un BIOS, un cargador de arranque y un kernel en particular). Ahora supongamos que luego cambias tu BIOS. Entonces el estado del TPM después del arranque será diferente. BitLocker ya no podrá abrir los datos y no podrá acceder a los datos en su disco duro por más tiempo. Deberá usar la clave de recuperación de BitLocker para acceder a sus datos. Si ha olvidado su clave de recuperación ... bueno, apesta ser usted.

Más información:

respondido por el D.W. 26.08.2012 - 05:09
fuente

Lea otras preguntas en las etiquetas