其實 TPM 只是一個功能簡單的小元件而已
沒有那麼多強大的功能
: TPM 是整個信賴運算的核心。TPM 幾個我認為幾個跟 DRM 有關的核心功能:
: 1. 信賴鏈:TPM 驗證 bootloader、bootloader 驗證作業系統,作業系統驗證應用程式
: 。所以除非破解 TPM 晶片 本身,任何作業系統或應用程式的竄改(例如破解檔)都
: 會被 TPM 直接或間接抓到,驗數位簽章就可以了。
TPM 本身不會去抓 "竄改" 這件事
它的功能很簡單,單純的算出 bootloader 或作業系統核心的 hash 值
就只有這樣而已
至於要怎麼抓 "竄改" 呢?
比如,如果我們把 bootloader 和 核心的 hash 值,拿來當作加解密用的 key
可不可以?
這樣一來,只要 bootloader 或作業系統被竄改過
hash 就會變,就無法解密 軟體或硬體加密的系統碟
( 但是 TPM 本身並不參與系統碟資料加解密的過程 )
可是這種作法有個問題,就是我只要知道系統的 hash 值
也就知道了加密用的 key,這樣顯然是很不安全的
那怎麼辦,只好用下面的 sealed storage
: 2. Sealed Storage:只有正確的軟體、硬體組合可以請求 TPM 解密。
只有在 bootloader 和作業系統的 hash 值是對的時候
才可以 unseal,拿到解密用的 key
不過只要有 root 權限,開機後 (解密後)
不管有沒有 TPM 都可以直接拿到 master key
TPM 本身不是用來加解密資料的
TPM + 軟體加密 是可行的
TPM + 支援 SED (TCG Opal) 的硬碟,也是可行的
TPM 本身沒不意味者就是使用硬體加密
它單純的是用來確認開機過程中的每一環節都沒被竄改
但是如果真的被竄改了,TPM 也不會阻止系統開機
會讓系統開不起來的是其它機制,例如無法 unseal key 所以無法解密
如果僅僅是單純在 bios 啟用 TPM,是無法享受到 TPM 的功能的
要搭配加密才會有使用 TPM 的意義
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.176.16 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1625850077.A.DBE.html→ cs84251樓個人覺得 TPM最有用的其實是TRNG... 07/10 02:58
→ swich453142樓反過來說病毒讓hash值發生改變是不 07/10 03:25
→ swich453143樓是就能讓這些保護機制被觸發導致系 07/10 03:25
→ swich453144樓統無法使用? 07/10 03:25
對,沒錯,就是這樣
但是如果 bootloader 或 系統核心 被病毒改過
在 bios 時就會被 secureboot 擋下來了,開不了機了
TPM 是第二道防線
不管是 secureboot 或 TPM 的功能都是讓你發現開不了機的時候
就要提高警覺,先用別的方法解毒 (比如拆硬碟用別的系統讀之類)
hn94804125樓跟蹤?誰想吃飽太閒跟蹤你。不過 07/10 03:59
→ hn94804126樓就是在上一篇和你自己發的文章推 07/10 03:59
→ hn94804127樓文在那邊你一言我一句就說我跟蹤 07/10 03:59
→ hn94804128樓。你去找別篇文章我有跟蹤你喔。 07/10 03:59
→ hn94804129樓你怎麼不說你在上面哀怨完後又來 07/10 03:59
→ hn948041210樓這邊哀怨 07/10 03:59
→ hn948041211樓喔,我是指上面那一串系列文的推 07/10 04:04
→ hn948041212樓文 07/10 04:04
smallreader13樓那我選擇不加密就不受影響,放心了 07/10 04:27
→ smallreader14樓登入使用者帳戶,帳戶有綁定線上帳 07/10 04:40
→ smallreader15樓號,或者僅限本地,其中有經過加密 07/10 04:40
→ smallreader16樓嗎?是否無法unseal key就無法登入? 07/10 04:40
seoiotoshi17樓 07/10 07:29
對,TPM 有可能像 windows 8 時的 secureboot 一樣
微軟只要求你的硬體有支援這個能力,並沒有強迫你一定要使用
要是 windows 11 也只是這樣要求
那麼不開 secureboot / 開了 TPM 但不使用加密 可能也可以跑 windows 11
補充說明一下,通常加密的時候,不會直接使用 TPM 中的 key 或 密碼當做 key
例如 luks 在加密的時候,會選用一個亂數,當做 master key
然後再用你的密碼,或 tpm 中的 key,去加密這個 master key
也就是你可以設定多個 key 都可以去解密,拿到這個 master key
比如儲存在 TPM 中的 key 可以直接解密 master key,再用 master key 解密系統碟
或者如果 TPM 中的 key 失效時,可以使用密碼解密 master key
而若是使用 bitlocker 的情況,則可以使用當初備份的 recovery key 解密
然後如果有登入 windows 帳號, bitlocker 會上傳一份 key 給微軟
你也可以從微軟帳號刪除這個 key ,或用別的方法讓它不要備份到微軟雲端
Apple 的 FileVault 這方面就比較好,可以一開始就選擇要不要備份 key 到 iCloud
而不是先上傳再刪除
cheneyen18樓TPM一種目的是保護平台 常見做法就 07/10 09:11
→ cheneyen19樓是利用PCR的數值 整體目標就是讓第 07/10 09:11
→ cheneyen20樓三方軟體可以做一致性檢查 其中包含 07/10 09:11
→ cheneyen21樓BIOS配置設定與外接卡韌體(以整機為 07/10 09:11
→ cheneyen22樓單位) 其他應用還有像是憑證簽章, 07/10 09:11
→ cheneyen23樓儲存空間,加解密等 如果系統被置換 07/10 09:11
→ cheneyen24樓另一組合法bootloader跟kernel,那麼 07/10 09:11
→ cheneyen25樓還是可進到OS,只是PCR的值會跟紀錄 07/10 09:11
→ cheneyen26樓的不同,此時就要小心啦 07/10 09:11
→ leo10217127樓怎麼聽起還不僅不能防病毒,還可以 07/10 09:25
→ leo10217128樓拿來做TPM攻擊啊?隨便竄改你一個地 07/10 09:25
→ leo10217129樓方,你的電腦就不能開機了 07/10 09:25
就算沒有 TPM, 光是 secureboot 也會讓你的電腦在被竄改的情況下不能開機
這些機制用來防毒的思維是,要讓系統有 tamper evident 的能力
而不是 tamper proof
TPM 要防的毒,是那種電腦關機後,有心人士把你的硬碟拆下來
拿去加料,放毒放木馬,等你開機解密系統碟時,偷你的資料的毒
不是經由網路或隨身碟等途徑感染電腦的毒
→ sachialanlus30樓感覺聽起來 一般使用者 好像比較難 07/10 09:39