• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Czy moge wylaczyc TPM za rowno dla Firmware jak i Discrete TPM

Aruba Cloud PRO i VPS, Openstack, VMWare, MS Hyper-V
0 głosów
56 wizyt
pytanie zadane 22 lutego w Sprzęt komputerowy przez wodoyo Początkujący (480 p.)
Na plycie glownej mam dwie opcje ktore moge zmienic. Zastanawiam sie czy moge bezpiecznie TMP na swojej plycie glownej zarowno od asus-a jak i od intela. Czy sa jakies ryzyka z tym zwiazane i czy znaczaco zmniejszam tak bezpieczenstwo komputera.

Mam watpliwosci co do TPM i tego co wlasciwe moze uruchamiac tego typu opgragrowanie a zasadzie to tego ze nie wiemy co tak naprawde moze robic tego typu opgragowanie oraz na jakim poziomie uprzywilejowania (a zakladam ze bardzo duzym)

2 odpowiedzi

0 głosów
odpowiedź 22 lutego przez mokrowski Mędrzec (155,080 p.)
Jeśli nie wiesz, to poczytaj o tym: https://www.intel.pl/content/www/pl/pl/business/enterprise-computers/resources/trusted-platform-module.html

Ogólnie TPM przechowuje elementy jak sejf. Sam więc nie jest w jakiś sposób mocno aktywny. To firmware i oprogramowanie systemu może z niego korzystać. Jeśli wyłączysz TPM'a, to np. funkcje szyfrowania dysków, przechowywania kluczy mogą w danym systemie nie działać. W MS WIndows 11, masz wymóg posiadania TPM'a 2.0. Ale jest on możliwy do obejścia w trakcie instalacji (wyłączenie w rejestrze) lub później. Również system MS Windows (jeśli wcześniej był instalowany w trybie Trusted), może nie chcieć się uruchomić (to zależy od wielu czynników związanych bardziej z mechanizmami płyty głównej danego producenta... ). Podpisuje bowiem swoje binaria kluczem który można umieścić w TPM.

Jeśli nie potrzebujesz wymienionych wcześniej usług, nie masz wrażliwych danych itd.. wyłącz (ale nie czyść zawartości TPM'a). Jeśli pojawią się problemy w systemie, to go ponownie włącz i tyle.
komentarz 22 lutego przez wodoyo Początkujący (480 p.)
no ale troche nie rozumiem logiki rozumowania, piszesz - nie masz wrazliwych danych - to wylacz. W takim razie wnioskuje ze w teorii tpm jest wskazane dla wrazliwych danych.

 

Dajmy na to jakas organizacja rzadowa np chinska instaluje system z TPM danego producenta. Co jesli USA zechce wykorzystac taki modul i jakos dostac odpowiednie dane ? Wydaje mi sie ze tutaj wlasnie jest problem i ryzyko. Wiec dlaczego piszesz cos co wydawalo mi sie - dziala odwrotnie ?

 

Jesli kompletnie nie rozumiem tematu to prosze o wyjasnienie.
komentarz 22 lutego przez mokrowski Mędrzec (155,080 p.)
Mam wrażenie że nie przeczytałeś linku który podałem.

TPM jak sejf przechowuje klucz(e), skróty, podpisy,... Kostka wyjęta z danej płyty i wstawiona do innej, nie zadziała bo "płyta nie ma klucza do sejfu TPM" :) Możesz oczywiście na tejże płycie nakazać wyczyszczenie wszystkich danych w TPM. Nie uzyskasz jednak danych tam zawartych.

Pomysł polega na tym że algorytmy wymagające bezpiecznego przechowania kluczy, mogą przechować je w TPM co wiąże dysk, system czy inne zabezpieczane elementy z płytą główną i modułem na niej umieszczonym, prosząc o nie w czasie gdy są potrzebne. Ten czas to np. start systemu czy odszyfrowanie dysku.

Oczywiście możesz z tego zrezygnować. Bo nie masz w systemie danych wrażliwych, nie obawiasz się kradzieży dysku/sprzętu, te zabezpieczenie jest zbędne, boisz się lub nie rozumiesz po co ci to. I to Ci napisałem :)

Masz szyfrowany dysk, podpisany system, wyłączysz TPM'a - system Ci nie wstanie. Proste i nie ma co drążyć :)
komentarz 22 lutego przez wodoyo Początkujący (480 p.)

dzieki za wyjasnie . Mimo wszystko google wyswietla taka informacje a to daje wiele do myslenia. jak sie zaopatrujesz na to?

However, it has been used as a backdoor waiting to be exploited by government groups and malicious actors.

https://medium.com/geekculture/your-computer-is-bugged-626169b0ddcf#:~:text=The%20Intel%20Management%20Engine%20is,government%20groups%20and%20malicious%20actors.

komentarz 22 lutego przez wodoyo Początkujący (480 p.)
'i inny wpis przetlumaczony z superuser:

 

"

 Nawet jeśli chcesz zrobić coś, co umożliwia TPM (jak bardzo bezpieczny start z zaszyfrowanej pamięci masowej), musisz zdecydować, czy możesz rzeczywiście zaufać:

Że TPM jest niezbędny i pomocny dla tego zastosowania
Że TPM nie ma żadnych błędów
Że producent TPM nie umieścił żadnych tylnych drzwi
Że jakiekolwiek klucze i algorytmy, które obsługuje TPM nie zostaną w jakiś sposób złamane w przyszłości.
To bardzo dużo zaufania, jak na producenta komputerów klasy commodity.

Tak więc w efekcie nie rozwiązuje to wielu problemów dla ogólnego użytkownika końcowego. Kilka przedsiębiorstw może zrobić z nich użytek, ale przeciętny użytkownik? Żadnych korzyści, a przeciętny użytkownik jest BARDZO wrażliwy na cenę."
komentarz 22 lutego przez Velta Maniak (50,910 p.)
jeżeli masz obawy, to po prostu użyj VeraCrypt
komentarz 22 lutego przez wodoyo Początkujący (480 p.)
Jaka jest jest to roznica w porownaniu do LUKS ?
komentarz 22 lutego przez mokrowski Mędrzec (155,080 p.)
Ale czekaj... z linkiem do medium.com, zmieniasz temat. Pytałeś o TPM'a a sam artykuł mówi o Intel Management Engine i "Ringach uprawnień". To nie to samo. Pierwsze z brzegu...
https://www.dobreprogramy.pl/ufaja-tylko-linuksowi-google-pozbywa-sie-uefi-i-intel-management-engine,6628428620772993a
https://www.ciemnastrona.com.pl/cyfrowy_feudalizm/2021/07/26/intel-management-engine.html

Jeśli mamy dyskutować o roli firmware we współczesnym sprzęcie, to zupełnie inna para kaloszy i temat bardzo obszerny. Dość że koncepcję bezpiecznego uruchomienia systemu, można realizować na wiele sposobów (co widać np. w platformach wbudowanych i koncepcji Secure Boot)
komentarz 22 lutego przez wodoyo Początkujący (480 p.)

To dziwne ze instrukcja wprowadza w blad :

Jest sekcja 

The items in this menu allow you to configure the Management Engine Technology parameters.

 

a pod nia podporzadkowana opcja

TPM Device Selection

0 głosów
odpowiedź 22 lutego przez wodoyo Początkujący (480 p.)
inny wpis przetlumaczony z superuser: , ktory rownie zaje sporo do myslenia

 

"

 Nawet jeśli chcesz zrobić coś, co umożliwia TPM (jak bardzo bezpieczny start z zaszyfrowanej pamięci masowej), musisz zdecydować, czy możesz rzeczywiście zaufać:

Że TPM jest niezbędny i pomocny dla tego zastosowania
Że TPM nie ma żadnych błędów
Że producent TPM nie umieścił żadnych tylnych drzwi
Że jakiekolwiek klucze i algorytmy, które obsługuje TPM nie zostaną w jakiś sposób złamane w przyszłości.
To bardzo dużo zaufania, jak na producenta komputerów klasy commodity.

Tak więc w efekcie nie rozwiązuje to wielu problemów dla ogólnego użytkownika końcowego. Kilka przedsiębiorstw może zrobić z nich użytek, ale przeciętny użytkownik? Żadnych korzyści, a przeciętny użytkownik jest BARDZO wrażliwy na cenę."

Podobne pytania

0 głosów
1 odpowiedź 100 wizyt
pytanie zadane 28 września 2022 w Sprzęt komputerowy przez Limono Użytkownik (560 p.)

90,871 zapytań

139,544 odpowiedzi

313,812 komentarzy

60,356 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Sklep oferujący ćwiczenia JavaScript, PHP, rozmowy rekrutacyjne dla programistów i inne materiały

Oto dwie polecane książki warte uwagi. Pełną listę znajdziesz tutaj.

...