¿Alguna tableta es compatible con la certificación remota?

Navega tus respuestas
6

Algunas PC vienen con un TPM . Una de las capacidades ingeniosas de los TPM es la capacidad de realizar atestación remota . La certificación remota le permite a su computadora decirle a una tercera computadora qué software está ejecutando actualmente, y esta declaración está firmada por el hardware del TPM, por lo que el software malintencionado no puede mentir ni subvertir el mecanismo.

¿Hay tabletas que admitan la certificación remota? (¿O hay teléfonos inteligentes que lo admitan? ¿La certificación remota incluso es compatible con cualquier conjunto de chips ARM o Atom?)

    
pregunta D.W. 19.11.2012 - 20:26
fuente

3 respuestas

9

Cuando un TPM proporciona una certificación remota, hay varios componentes involucrados:

  1. el TPM como dispositivo a prueba de manipulaciones que contiene una raíz de confianza;
  2. el TPM como dispositivo para medir el software que se ejecuta en el procesador principal y producir una certificación;
  3. software para conectarse al TPM y recuperar el certificado y transmitirlo (este software simplemente está transmitiendo un certificado firmado por el TPM, por lo que no es de confianza).

El tercer punto es "fácil" en la medida en que dicho software ya existe, y podría trasladarse a tabletas si hubiera un uso para él.

El primer punto es un bloqueador en el ecosistema de dispositivos móviles, porque los teléfonos y las tabletas tienden a tener muy pocos chips; un chip TPM adicional se considera un aumento significativo de los costos. Si bien TCG ha definido las especificaciones para un MTM (un TPM ligero para dispositivos móviles), no creo que se haya encontrado un MTM en Cualquier teléfono inteligente para el público en general. Microsoft está presionando para que aparezca el TPM tabletas , por lo que MTM o TPM en dispositivos móviles pueden extenderse (por ejemplo, el nuevo Windows Phone 8 tiene un TPM ).

El punto 2 no requiere realmente un TPM como dispositivo físico, sino un componente del sistema que proporciona una interfaz similar a TPM y se ejecuta fuera del alcance del sistema operativo normal. Por ejemplo, el sistema operativo (por ejemplo, Windows RT o Android) podría ejecutarse en una máquina virtual, con el hipervisor proporcionando un TPM (virtual). Hay dos obstáculos inmediatos con este enfoque:

  • El Cortex-A15 es el primer núcleo ARM que proporciona extensiones de virtualización. Los dispositivos con procesadores basados en A-15 apenas están saliendo ahora.
  • Si bien el hipervisor puede almacenar la raíz de confianza fuera del alcance del sistema operativo principal en el tiempo de ejecución, necesita un lugar para almacenar esta raíz de confianza, que no puede ser la memoria flash principal donde el SO podría sobrescribirla.

El primer obstáculo se puede resolver con TrustZone , que proporciona un tipo de hipervisor especializado con solo dos particiones del sistema operativo y está presente en todos los procesadores basados en ARM utilizados en teléfonos inteligentes y tabletas (y es difícil como usuario saber qué sucede si cualquier cosa que se utiliza para ). El segundo obstáculo requiere más soporte en el procesador, pero hay procesadores implementados en dispositivos existentes (por ejemplo, el Motorola Droid ) que proporcionan al menos una pequeña cantidad de memoria no volátil en forma de fusibles (físico-escritura una vez) que solo pueden leerse por el lado del "mundo confiable" de TrustZone y no por el sistema operativo principal. Una interfaz TPM se puede construir sobre eso, y TCG está trabajando en ello . Esto bien podría ser el “ TPM basado en firmware " en la superficie basada en ARM (que no tiene un chip TPM discreto).

Entonces, para resumir: casi no hay tabletas con TPM reales. Pero hay tabletas con algo que puede implementar los mismos requisitos de seguridad (con un nivel de confianza ligeramente inferior). Aún no puede comprar ninguna tableta y espera tener una certificación remota trabajando en ella, ni tampoco puede implementarla usted mismo porque no obtendrá acceso a la raíz de la confianza, pero con la exageración actual en torno a BYOD, cada vez más productos deberían estar saliendo.

    
respondido por el Gilles 22.11.2012 - 20:59
fuente
2

Esto es más retroalimentación que una respuesta. Mis disculpas si estoy en el área equivocada aquí.

Existen varias herramientas de administración de línea de base de seguridad para tabletas, solo tienes que abrir GoogleZ. Lamentablemente, en general, los dispositivos parecen ser el enfoque predominante. Si está interesado en dispositivos MS (¿quizás un masoquismo?) Este ( enlace ) es un artículo bastante bueno que describe las construcciones de seguridad de Win8 y Surface y se dirige específicamente a ARM.

Sin embargo, sobre el tema de la seguridad móvil, puede encontrar 'Pautas sobre seguridad basada en hardware en dispositivos móviles (borrador)' ( enlace ) para ser de interés. Es un borrador bastante nuevo que aborda solo esta clase de problema.

Comparte y disfruta,

    
respondido por el grauwulf 21.11.2012 - 19:18
fuente
1

Aquí hay una lista de dispositivos vPro similares a tabletas (compatibles con TPM, VT-d y TXT) disponibles desde principios de 2013. A veces hay varios números de modelo que son ligeramente diferentes en sus especificaciones de hardware, asegúrese de comprar un dispositivo con el hardware vPro correcto y compatible con BIOS para TXT. Llame al número de asistencia OEM si quiere estar seguro.

respondido por el user21097 22.02.2013 - 20:29
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo detectar / soportar el ataque de amplificación de DNS? ¿Puede un exploit del kernel comprometer un host OpenVZ?