¿Cómo funciona el TPM con la CPU para descifrar datos?

0

Bueno, por lo que he estado leyendo,

Al inicio, el BIOS realiza una comprobación de integridad y produce un valor de hash para establecer en los PCR del TPM (también conocido como Core Root of Trust Module), y cuando todos los PCR necesarios son correctos, el sistema operativo tendrá acceso a una clave de raíz cifrada (que se utiliza para descifrar los datos almacenados en el disco duro).

Corrígeme si me equivoco :)

Ahora, lo que no entiendo es cómo la CPU utiliza esta clave de raíz cifrada para descifrar los datos, ya que mi conocimiento termina ahí.

¿Este proceso está documentado en alguna parte? Si no, ¿podría explicar cómo funciona este proceso?

Muchas gracias.

    
pregunta Alpha 27.06.2017 - 21:54
fuente

1 respuesta

1

Hay algunos conceptos que se aplican a lo que está preguntando. El TPM es una "raíz central de confianza" para informes y almacenamiento. En la especificación de Trusted Computing Group (TCG, la organización que mantiene el estándar para el TPM) para la Implementación de PC Client para BIOS, el código de arranque del BIOS es la raíz central de la confianza para la medición.

El código de arranque del BIOS se mide a sí mismo (generalmente, mediante un hash criptográfico) y luego al resto del código y la configuración del BIOS. Esta cadena de medición se transfiere al sector de arranque del disco duro (o cualquier otro dispositivo de arranque que se utilice). A medida que se toman estas medidas, se extienden a los Registros de configuración de plataforma (PCR) que se mantienen en el TPM. Con la excepción de ese código de arranque del BIOS, se mide todo el código y los PCR se extienden irreversiblemente (hasta el próximo inicio), antes de que se permita que el código se ejecute. Este sistema debe garantizar que cualquier modificación del código que se ejecuta en el sistema se refleje en un conjunto diferente de valores de PCR.

El TPM también asegura las claves y el material clave. Cuando estas claves están protegidas por el TPM, se puede especificar que no deberían estar disponibles a menos que los PCR tengan algún conjunto específico de valores. Este material clave puede ser utilizado por el software de cifrado de unidades. Hay un puñado de sistemas de cifrado de unidades diferentes que han sido diseñados para usar el TPM de esta manera, y todos funcionan de manera ligeramente diferente. Deberá investigar esos sistemas para ver cómo usan la clave o el material clave del TPM para el cifrado de la unidad.

En cuanto a la documentación, puede consultar la especificación TPM y la especificación de PC Client de TCG. Microsoft utiliza Bitlocker. También puede consultar este sistema , que usa LUKS, el TPM y TrustedGrub para el cifrado de unidad de Linux.

    
respondido por el Lampshade 28.06.2017 - 15:48
fuente

Lea otras preguntas en las etiquetas