¿Cómo uso un TPM para proteger mi BIOS / EFI de ataques "remotos"?

Parece que estás mezclando dos tecnologías.

Primero, hay UEFI y su característica de arranque seguro. El arranque seguro se puede usar para asegurar que su cargador de arranque y el kernel de su sistema operativo no estén alterados. Para hacerlo, su cargador de arranque y el kernel deben estar firmados digitalmente y su configuración UEFI debe contener los certificados / firmas necesarios para verificar las firmas. Windows 8 en las plataformas ARM usa UEFI para evitar efectivamente que se instalen otros sistemas operativos. Sin embargo, UEFI no ofrece ninguna protección real contra ataques a nivel de firmware.

Ahora para el TPM: el TPM es un chip de hardware pasivo que se utiliza (entre otras cosas) para almacenar mediciones (valores hash) de, por ejemplo, Software de manera a prueba de manipulaciones y para que esas mediciones estén disponibles para la presentación de informes. Las placas base que se envían con un TPM tienen requisitos especiales para su firmware. Primero, tienen una pequeña pieza de firmware especial llamada Core Root of Trust for Measurement (CRTM). El CRTM se ejecuta primero durante el arranque y almacena las mediciones de sí mismo y de la siguiente pieza de firmware (BIOS o UEFI) antes de entregarle el control. La siguiente pieza de firmware normalmente mide el cargador de arranque, que a su vez mide el kernel del sistema operativo y así hasta el nivel de la aplicación (en detalle, el proceso de medición es más complicado, por supuesto). Sin embargo, la mayoría de los cargadores de arranque y sistemas operativos no utilizan el TPM de esta manera. De todos modos, si tiene un TPM en su placa base, puede estar seguro de que mide su firmware.

¿Qué puedes hacer con esas medidas? BitLocker, p. utiliza Sellado para enlazar las claves necesarias para descifrar su HD a esas medidas. Eso significa que sus claves de HD no se pueden usar, si el malware corrompe su firmware. Por lo tanto, en Windows puede usar BitLocker para protegerse contra la manipulación de su firmware. No tengo conocimiento de algo similar para Linux (aunque algo pueda existir). Sin embargo, puede utilizar un servidor Radius habilitado para Trusted Network Connect (TNC) y un wpasupplicant habilitado para TNC para verificar las mediciones de forma remota.

TPM se puede usar para verificar durante el inicio si el kernel no está modificado (firmado) y puede realizar el cifrado de disco completo de Bitlocker. En la práctica, no evita los ataques remotos a su máquina, a excepción de la instalación remota de rootkits del kernel o vt. La clave raíz de hardware que puede usar eventualmente para firmar sus solicitudes, como para acceder a otra LAN segura u obtener un recurso seguro a través de HTTPS. Y sí, también protege la BIOS simplemente al verificar si está cargando el kernel correcto.

TPM tiene la capacidad de verificar el BIOS, es la cadena de confianza que promueve. Verifique la raíz de confianza tanto estática como dinámica de los protocolos y vea qué suites es la mejor. Y nuevamente, asegúrese de por qué quiere proteger la BIOS y qué es lo que realmente quiere proteger.