Post on 06-Feb-2018
transcript
Trusted Platform Module: Technik und Einsatz„Ein Chip, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden“
Michael Krauß
Seminar der Lehrstühle Rechnerarchitektur, Optoelektronik,Schaltungstechnik und Simulation sowie Informatik V
19.12.2006
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 1 / 33
1 EinführungStruktur und Ziele der TCGWichtige Begriffe
2 Das Trusted Platform Module (TPM)AufbauInhalt
3 Die Softwareseite
4 TPM im Einsatzeinige Standardverfahrenalternative Gesichtspunkte
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 2 / 33
Ziele der Trusted Computing Group (TCG)
Entwicklung einer hard- und softwarebasierten, vertrauenswürdigenRechnerplattform.
Spezifikationen für verschiedene Geräte, wie PC, PDA undMobiltelephon.
Festlegung von Evaluationskriterien zur Prüfung von TCG Technologie.
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 3 / 33
Mitglieder der TCG
Promoter: AMD, HP, IBM, Intel, Microsoft, Sun50.000$/a
Contributor: ca. 75 Mitglieder, unter anderen Dell, Ericson, FujitsuSiemens, Hitachi, Motorola, Infineon, TI ...15.000$/a
Adopter: ca. 45 Mitglieder, wie American Megatrends, Toshiba, ...7.500$/a (bzw. 1,000 für kleine Unternehmen)
Vorstand: Alle Promoter plus 3 Contributors
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 4 / 33
Designziele für das Trusted Platform Module (TPM)
1 Sealing (Versiegelung)I Daten werden durch Verschlüsselung an aktuelle Systemkonfiguration
gebunden.I Verschlüsselung mit Autorisierungscode und Berücksichtigung des Inhalts
von Registern (PCRs) mit Hash-Werten der Konfiguration vonSystemkomponenten.
I Unsealing nur, wenn Register und Code stimmen.2 Platform Attestation (Beglaubigung)
I Beweis des Vorhandenseins eines registrierten TPM über eineVertrauenswürdige Instanz.
I Aktuellen Systemzustand übermitteln.I Übermittlung kann nicht manipuliert werden.
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 5 / 33
Roots of Trust
Ausgangspunkt aller Sicherheitsmaßnahmen, können selbst nicht geprüftwerden.
Root of Trust for Measurement (RTM)
Root of Trust for Storage (RTS)
Root of Trust for Reporting (RTR)
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 6 / 33
Ausweiten der Vertrauenswürdigkeit
Schrittweise Erweiterung der Trust Boundary1 Beginne bei Root of Trust2 Messe nächste Komponente3 Erweitere Trust Boundary auf neue Komponente (Transitive Trust)4 Wiederhole Schritt 2 und 3 bis alle Komponenten als vertrauenswürdig
eingestuft sind.
Am Ende chain of trust
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 7 / 33
Absichern des Systemstarts
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 8 / 33
1 EinführungStruktur und Ziele der TCGWichtige Begriffe
2 Das Trusted Platform Module (TPM)AufbauInhalt
3 Die Softwareseite
4 TPM im Einsatzeinige Standardverfahrenalternative Gesichtspunkte
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 9 / 33
Trusted Platform Module (TPM) Aufbau
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 10 / 33
Infineon Chip
16-bit microcontroller in 0.22 µm CMOS technology
1.5 kBytes of NV storage available for free utilization
3.3 V power supply
Advanced Crypto Engine (ACE) supporting up to 2048 RSAcalculations
Hardware accelerator for SHA-1 hash algorithm
True Random Number Generator (TRNG)
Security architecture based on Infineon SLE66CXxxPEsecurity controller family
Secure Field Upgrade for on-chip embedded software
EEPROM for functional upgrade of the On-Chip EmbeddedSoftware and for non-volatile storage of user data and keys
Operates from a single 33 MHz clock
Low profile TSSOP-28 package
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 11 / 33
Anbindung des TPM (Infineon)
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 12 / 33
zentrale Schlüssel
Endorsement Key (EK): Ist jedem TPM eindeutig zugeordnet. Kann vonowner erneuert werden.Wird zur Erzeugung der AIKs benutzt. Nichtmigrierbar.
Attestation Identity Keys (AIK): Dienen der Beglaubigung derVertrauenswürdigkeit gegenüber Dritten. Werden mit öffentlichem Teil desEndorsement Keys generiert. Kein Rückschluß auf EK möglich. Nuröffentlicher Teil ist übertragbar.
Storage Root Key (SRK): Nicht migrierbarer Schlüssel zur Sicherunglokaler Daten und anderer Schlüssel.
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 13 / 33
Wichtige Zertifikate
Endorsement Zertifikat: Echtheit des TPM, geprüfter Hersteller, Signierenmit Endorsement Key
Plattform Zertifikat: von Plattformhersteller, Komponenten genügen derTCG Spezifikation, TPM enthalten
Conformance Zertifikat: TPM erfüllt TCG Spezifikation
Validation Zertifikat: Komponenten oder Komponentengruppen(Graphikkarten, Eingabegeräte) sind TCG konform
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 14 / 33
1 EinführungStruktur und Ziele der TCGWichtige Begriffe
2 Das Trusted Platform Module (TPM)AufbauInhalt
3 Die Softwareseite
4 TPM im Einsatzeinige Standardverfahrenalternative Gesichtspunkte
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 15 / 33
Auslagerung von Schlüsseln
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 16 / 33
Trusted Software Stack (TSS) im Überblick
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 17 / 33
Zusammenspiel von TPM, TSS und Anwendungen
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 18 / 33
1 EinführungStruktur und Ziele der TCGWichtige Begriffe
2 Das Trusted Platform Module (TPM)AufbauInhalt
3 Die Softwareseite
4 TPM im Einsatzeinige Standardverfahrenalternative Gesichtspunkte
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 19 / 33
Inbetriebnahme des TPM
1 Herstellung des TPM2 Generierung des EK3 EK Zertifizierung durch TPM Hersteller4 Einbau des TPM in Plattform5 Plattformzertifizierung durch PC-Hersteller6 Auslieferung an den Kunden7 TPM-Aktivierung8 AIK von unabhängiger Zertifizierungsstelle (über Internet)9 Anwender benutzt AIK für Transaktionen
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 20 / 33
Authentifizierung und Zertifikate
TPM (Client) Privacy Certificate Authority (PCA)
AIK Public KeyEK Public Key Platform-ZertifikatConformance-Zertifikat
Prüft TPMauf Echtheit
Neue IdentitätAIK Zertifikatausstellen und signieren
AIK Zertifikat
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 21 / 33
Remote Identifizierung und Fremdkontrolle
1 Plattform fordert Dienst bei Anbieter an [z.B. neue Metallica-Single]2 Anbieter verlangt Attestation [Bestätigung der Glaubwürdigkeit]3 Plattform signiert Systemkonfiguration (PCR) mit AIK4 Anbieter erhält Attestation [mit AIK signiertes PCR]5 Anbieter überprüft AIK über Third Party (TP)
I TP führt schwarze Liste mit ungültigen AIKs / Public EKsI TP führt Liste mit zertifizierten AIKs [TP gibt o.k. an Anbieter]
6 Anbieter überprüft Systemkonfiguration der Plattform [anhand der PCRs]7 Plattform erhält Zugang zum Dienst [Lizenzierung / Download von
Metallica-Single]
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 22 / 33
Signing: Unveränderbarkeit von Dokumenten und Software
Dokumente und Software signieren
1 Hashwert von Dokument berechnen (160 Bit)2 Hashwert mit privatem RSA-Schlüssel signieren3 Dokument mit Signatur, öffentlichem RSA-Schlüssel und Zertifikat ist
nicht manipulierbar.4 Empfänger überprüft den RSA-Schlüssel bei der Zertifizierungsstelle.
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 23 / 33
Binding mit tpm_sealdata (TrouSerS)
Klartext-Datei
AES-Key256 Bit
RSA-Schlüssel,öffentlicher Teil
SRK des TPM
Verschlüsselte Datei
Nutzdaten
AES-Key256 Bit
RSA-Schlüsselpaar
verschlüsselt
verschlüsselt
verschlüsselt
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 24 / 33
Remote Sealing
Verschlüsselung mitPublic Key und PCRs
Entschlüsselung nurmit Private Key undpassenden PCRs
AIK + ZertifikatPublic KeyPCRs
SenderEmpfänger
AIK und PCRs prüfen
Versiegelter Inhalt
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 25 / 33
Virtualisierung
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 26 / 33
Kritik
Whitelists und Programmupdates
I Illegale Software Kopien an der Ausführung hindern.I Unerwünschte Software (CD-Emulatoren, Brennsoftware, . . . ) blockieren.I Verdongelung von Soft- und Hardware (OEM, MacOS X).I Vorschreiben von Hardwarekomponenten über Whitelists.
ProgrammupdatesI Bei jeder Veränderung der Software müssen versiegelte Inhalte neu
versiegelt werden, oder sind nutzlos.I Sind alle versiegelten Daten nach einer TPM-Migration unbrauchbar?
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 27 / 33
Kritik 2
Open SourceI Zertifizierung von Software kostet Geld.I Jede neue Version muß zertifiziert werden.I Was ist mit Quellcode?
WettbewerbI Alle großen Hard- und Software Hersteller sind in der TCGI Der Großteil der Software und Hardware wird Trusted Computing
einsetzen.I Dokumente oder Mails lassen sich mit deaktiviertem TPM dann nicht mehr
öffnen.I Bestimmte Dateien lassen sich nur noch mit vorgegebenen Programmen
bearbeiten.
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 28 / 33
OSS Projekte
Eine Auswahl:
Trusted GrubTCG konformer Bootloader von IBM und dem Hurd Projekt
TPM-Engine für OpenSSL
TrouSerSEin Trusted Software Stack (TSS) und Kommandozeilentools für Linux
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 29 / 33
TrouSerS – Trusted Software Stack (TSS) für Linux
Treiber für TPM seit Kernel 2.6.12
TSS Core Services (TCS) sind als daemon (tcsd) realisiert
TCG Service Provider (TSP) als dynamisch gelinkte Bibliothek (libtspi.so)im Kontext der Anwendung
Tools zum auslesen des TPM und zum Sealing von Dateien
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 30 / 33
Fazit – Aktuelle Lage
TPM Hardware ist etabliert.
kein vertrauenswürdiges Betriebssystem
keine Trusted Computing Infrastruktur (z.B. Zertifizierungsstellen)
Zu große Vielfalt von Hard- und Software auf PCs (−→ Virtualisierung)
Deshalb Vermarktung als sicherer „Datentresor “
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 31 / 33
Weiterführende Verweise
Das Trusted Platform Module (TPM) und vertrauenswürdigeInformationstechnikhttp://www.bsi.de/sichere_plattformen/trustcomp/infos/tpm_report/index.htm
Trusted Platform Module (TPM1.2)http://www.infineon.com/tpm
Trusted Platform Module (TPM) Specificationshttps://www.trustedcomputinggroup.org/specs/TPM
TCG Architecture Overviewhttps://www.trustedcomputinggroup.org/groups/TCG_1_0_Architecture_Overview.pdf
PC Client Specificationshttps://www.trustedcomputinggroup.org/specs/PCClient/
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 32 / 33
Weiterführende Verweise
IBM: Virtual Trusted Platform Modulehttp://domino.research.ibm.com/comm/research_projects.nsf/pages/ssd_vtpm.index.html
Open Trusted Computinghttp://www.opentc.net
In den Kinderschuhen – Anwendungen für das Trusted Platform ModuleLinux Magazin 12/06 Seite 120-127
Trusted Computing – Ein kurzer Spaziergangvon Gerald Himmelein C’t Magazinhttp://www.heise.de/ct/redaktion/ghi/tc/linuxtagTClinked.html
Einführung in die KryptographieJohannes Buchmann, Springer-Verlag, 3. erweiterte Auflage
Michael Krauß () TPM: Technik und Einsatz 19.12.2006 33 / 33