Сегодня Дмитрий немного расскажет о TPM. В вычислительной технике Trusted Platform Module (TPM) - название спецификации, описывающей криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщённое наименование реализаций указанной спецификации, например, в виде «чипа TPM» или «устройства безопасности TPM» (Dell). Раньше назывался «чипом Фрица» (бывший сенатор Эрнест «Фриц» Холлингс известен своей горячей поддержкой системы защиты авторских прав на цифровую информацию, DRM). Спецификация TPM разработана некоммерческой организацией «Trusted Computing Group».
Tpm- это враг по одной простой причине: у пользователей нету возможности проверить полностью код, нету возможности отключать или удалить. Давайте уже называть вещи своими именами: вашь компьютер это общественное место, и уже давно не вашь компьютер.
TPM не имеет доступа ни к чему. Это железка, которая не может вам навредить, но послушно выполняет выши команды. И при этом TPM реализуют открытую спецификацию, и у него есть разные vendor-ы. Таким образом ничто не мешает использовать TPM как дополнительный инструмент безопасности. Если, например, будете использовать TPM как второй фактор, то с точки зрения безопасности хуже не станет, а вот лучше станет: чтобы получить доступ к зашифрованному диску вашего ноутбука, что вы оставили в офисе (пока отошли на совещания), потребуется гораздо больше усилий (и вмешательноство будет гораздо заметнее). Если искать врага, то это скорее Intel ME, какой-нибудь :)
@@noguri все дополнительные инструменты безопасности имеют возможность удаленный доступ к вашему компьютеру: в части сбора информации, установки обновлений и служб без вашего согласия. А пока вы не дадите разрешение на сбор и обработку персональных данных корпорацией майкрософт, вам никакое ПО, на купленный компьютер никто не поставит, и будет он у вас как сувенир стоять. Понимаешь самая безопасная операционная система, эта та, в которой пользователь сам имеет возможность отлючать службы, удалять программы шпионы, ограничивать обновления и сбор данных о вашем пк и всей информации на нем.
@@noguri у меня нету проблем с компанией майкрософт, так как я неимею личную или конфеденциальную информацию на компьютере подключенном к сети. Он у меня используется для развлечения и игр. А работаю я на компьютере с системой виндовс хп у которой исходный код полностью открыт и установленные более продвинутые системы безопасности российского производства, и он отключен от системы интернет.
Ну собстна основная критика и есть в том, что имеется политика доступа к ключу на основе состояния система, которое абсолютно уникально. Мб линуксах можно не дать чтения pcr_ids, то на винде все приложения могут вещать в сеть ваш уникальный айди, круче всяких фингерпринтов. У самого модуля тоже есть айдишник, и уникальный набор функций. Кароч к деаеону предъява. Ну и тип не у всех модулей можно заменить приватный ключ владельца платформы. Типа да, вендор может заблокировать инфу на модуле
Вопрос и конечная задача не очень понятны, но TPM-чип -- это вполне стандартная вещь (у HPE тут не особо есть какая-то специфика). И если у вас Linux и CPU Intel, но как вариант можно сделать так: - В TPM можно запечатать ключ для cryptsetup, с доступом только из доверенного состояния. - UEFI можно настроить для измерения linux kernel и initrd. - Добавить в initrd скрипт, который будет брать ключ из TPM для доступа к ФС через cryptsetup. - Включить TXT. В результате, грубо говоря: TXT измерит BIOS, BIOS измерит linux kernel и initrd, и TPM отдаст ключ только если BIOS, linux kernel и initrd не были никем модифицированы (то есть ваша система находится в доверенном состоянии). Это та задача которую вы хотите решить, или вы хотите решить другую задачу?
@@noguri ,немного не так. Сервер hpe proliant ml350 gen8,крутится на ws 2016. Вопрос,при изъятии хардов, tmp,за ранее установленный,спасёт ситуацию? И где вообще почитать литературу про модуль ? ?
К сожалению, у нас нет специалистов по Windows. Однако концептуально: да, TPM позволяет сделать так, чтобы винчестер можно было расшифровать только на компьютере, где установлен именно тот экземпляр TPM-а, для которого он шифровался. Конкретно про модуль можно почитать на trustedcomputinggroup.org/resource/tpm-library-specification/ Однако это тысячи страниц документации, и не особо полезная трата времени, как мне кажется. Мне кажется, более полезно почитать как конкретно работает (и какие возможности даёт) приложение, которое вы будете использовать для работы с TPM.
И с каких это пор кто-то будет о нашей приватности беспокоится? Сейчас наоборот все кому не лень, хотят засунуть свой нос в нашу жопу.)) Давайте вспомним телеграмм. Который якобы что-то шифрует. Об этот много говорили по ТВ, а потом массовые задержания и уничтожения террористов начались. Слежка, логи в любой форме, это всегда враг ОТДЕЛЬНО взятого человека. А под безопасностью нам преподносят, исключительно безопасность власти, а не гражданина. TPM в том числе может контролировать ваши кряки виндовс(либо подбирать рекламу), потому что до настоящего времени майкрософт это контролировать не могли (что очень странно, возможно теперь смогут). Если компьютер раньше работал без TPM, то значит от него хорошего не ждать.
Не совсем, диск шифруется с помощью пароля, а в TPM прячется ключ. Если с TPM что-то не в порядке (или загрузка пошла не по плану), то вы просто вводите пароль
Как наивно. Вы действительно думаете, что Майкрософт будет озабочиваться безопасностью отдельного юзера и его папки порнухи ?? Это чип ТРМ сделан как физическая закладка. Для чего? Для облегчения идентификации пользователя, для придания уникальности вычислениям и токенам. Ничего не напоминает? ДА МАЙНИНГ. НО НЕ ДЛЯ эфира, а для мощностей АИ. Именно для АИ сделаны чипы ТРМ , внедряются ЧИПЫ ИИ в видеокарты, улучшаются микрокоды процессоров. Ответьте что лучше и походит больше на нейросеть, Огромный суперкомпьютер с затратами на электроэнергию и обслуживания , или миллиарды ПК юзеров по всему земному шару??)) Это официальная АИ зомбо сеть, которая типа телеметрия, ибудет забирать у вас ресурсы в простое. виндоус 11 уже обкатан и прекрасно научился скрывать нагрузку.
нет ничего хорошего в том, что зашифрованный диск нельзя прочитать нигде больше, потому что если вдруг гавкнеться материнская плата то и ваши данные тоже тогда пропадут, так как модуль это вшит в плату.
Спасибо! Было очень интересно.
И вам спасибо за внимание!)
Сегодня Дмитрий немного расскажет о TPM. В вычислительной технике Trusted Platform Module (TPM) - название спецификации, описывающей криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщённое наименование реализаций указанной спецификации, например, в виде «чипа TPM» или «устройства безопасности TPM» (Dell). Раньше назывался «чипом Фрица» (бывший сенатор Эрнест «Фриц» Холлингс известен своей горячей поддержкой системы защиты авторских прав на цифровую информацию, DRM). Спецификация TPM разработана некоммерческой организацией «Trusted Computing Group».
Tpm- это враг по одной простой причине: у пользователей нету возможности проверить полностью код, нету возможности отключать или удалить. Давайте уже называть вещи своими именами: вашь компьютер это общественное место, и уже давно не вашь компьютер.
TPM не имеет доступа ни к чему. Это железка, которая не может вам навредить, но послушно выполняет выши команды. И при этом TPM реализуют открытую спецификацию, и у него есть разные vendor-ы. Таким образом ничто не мешает использовать TPM как дополнительный инструмент безопасности. Если, например, будете использовать TPM как второй фактор, то с точки зрения безопасности хуже не станет, а вот лучше станет: чтобы получить доступ к зашифрованному диску вашего ноутбука, что вы оставили в офисе (пока отошли на совещания), потребуется гораздо больше усилий (и вмешательноство будет гораздо заметнее).
Если искать врага, то это скорее Intel ME, какой-нибудь :)
@@noguri все дополнительные инструменты безопасности имеют возможность удаленный доступ к вашему компьютеру: в части сбора информации, установки обновлений и служб без вашего согласия. А пока вы не дадите разрешение на сбор и обработку персональных данных корпорацией майкрософт, вам никакое ПО, на купленный компьютер никто не поставит, и будет он у вас как сувенир стоять.
Понимаешь самая безопасная операционная система, эта та, в которой пользователь сам имеет возможность отлючать службы, удалять программы шпионы, ограничивать обновления и сбор данных о вашем пк и всей информации на нем.
Так может у вас проблема в Майкрософт, а не в TPM?)
@@noguri у меня нету проблем с компанией майкрософт, так как я неимею личную или конфеденциальную информацию на компьютере подключенном к сети. Он у меня используется для развлечения и игр. А работаю я на компьютере с системой виндовс хп у которой исходный код полностью открыт и установленные более продвинутые системы безопасности российского производства, и он отключен от системы интернет.
Иметь майкрософт тоже совсем не обязательно)
Дмитрий, спасибо. Подскажите, что будет, если TPM сломается? Можно ли будет восстановить систему и файлы? Спасибо!
Ну собстна основная критика и есть в том, что имеется политика доступа к ключу на основе состояния система, которое абсолютно уникально. Мб линуксах можно не дать чтения pcr_ids, то на винде все приложения могут вещать в сеть ваш уникальный айди, круче всяких фингерпринтов. У самого модуля тоже есть айдишник, и уникальный набор функций. Кароч к деаеону предъява. Ну и тип не у всех модулей можно заменить приватный ключ владельца платформы. Типа да, вендор может заблокировать инфу на модуле
К этому давно все шло. Скоро все лицензионное ПО будет привязываться к TPM.
Звук ужасен, был бы лучше, у меня бы кровь с ушей не шла(((
А где посчитать больше информации по модулям tmp для шифрования дисков на сервере типа hpe?
Вопрос и конечная задача не очень понятны, но TPM-чип -- это вполне стандартная вещь (у HPE тут не особо есть какая-то специфика). И если у вас Linux и CPU Intel, но как вариант можно сделать так:
- В TPM можно запечатать ключ для cryptsetup, с доступом только из доверенного состояния.
- UEFI можно настроить для измерения linux kernel и initrd.
- Добавить в initrd скрипт, который будет брать ключ из TPM для доступа к ФС через cryptsetup.
- Включить TXT.
В результате, грубо говоря: TXT измерит BIOS, BIOS измерит linux kernel и initrd, и TPM отдаст ключ только если BIOS, linux kernel и initrd не были никем модифицированы (то есть ваша система находится в доверенном состоянии).
Это та задача которую вы хотите решить, или вы хотите решить другую задачу?
@@noguri ,немного не так. Сервер hpe proliant ml350 gen8,крутится на ws 2016. Вопрос,при изъятии хардов, tmp,за ранее установленный,спасёт ситуацию? И где вообще почитать литературу про модуль ?
?
К сожалению, у нас нет специалистов по Windows. Однако концептуально: да, TPM позволяет сделать так, чтобы винчестер можно было расшифровать только на компьютере, где установлен именно тот экземпляр TPM-а, для которого он шифровался.
Конкретно про модуль можно почитать на trustedcomputinggroup.org/resource/tpm-library-specification/
Однако это тысячи страниц документации, и не особо полезная трата времени, как мне кажется. Мне кажется, более полезно почитать как конкретно работает (и какие возможности даёт) приложение, которое вы будете использовать для работы с TPM.
Такой звук не приемлим, тяжело слушать.
Спасибо за внимание ❤️
И с каких это пор кто-то будет о нашей приватности беспокоится? Сейчас наоборот все кому не лень, хотят засунуть свой нос в нашу жопу.)) Давайте вспомним телеграмм. Который якобы что-то шифрует. Об этот много говорили по ТВ, а потом массовые задержания и уничтожения террористов начались. Слежка, логи в любой форме, это всегда враг ОТДЕЛЬНО взятого человека. А под безопасностью нам преподносят, исключительно безопасность власти, а не гражданина. TPM в том числе может контролировать ваши кряки виндовс(либо подбирать рекламу), потому что до настоящего времени майкрософт это контролировать не могли (что очень странно, возможно теперь смогут). Если компьютер раньше работал без TPM, то значит от него хорошего не ждать.
Угу, никто не позаботится о вас, если вы сами не будете о себе заботиться, так устроен мир)
я переустанавливал винду, и тут окно где esp не очищать, а f12 очистить. нужно ли его очищать?
Немного не понятен вопрос) Что очищать?
ничего не понятно. какие-то абстрактные понятия.
Жаль)
Я так понял, прошил биос попрощался с "диском"? Захотел снять диск с данными и пойти куда-то, ой нет - это кирпич.
Не совсем, диск шифруется с помощью пароля, а в TPM прячется ключ. Если с TPM что-то не в порядке (или загрузка пошла не по плану), то вы просто вводите пароль
дохрена эхо.. и чета там шумит,кулеры чтоли..плохо слышно.
Да, есть такое дело, звук подкачал)
поставь микрофон рядом
Ок)
микрофончик желательно бы....
Присылайте)
Беги пока несожрали !!!!
Почему?)))
Как наивно. Вы действительно думаете, что Майкрософт будет озабочиваться безопасностью отдельного юзера и его папки порнухи ?? Это чип ТРМ сделан как физическая закладка. Для чего? Для облегчения идентификации пользователя, для придания уникальности вычислениям и токенам. Ничего не напоминает? ДА МАЙНИНГ. НО НЕ ДЛЯ эфира, а для мощностей АИ. Именно для АИ сделаны чипы ТРМ , внедряются ЧИПЫ ИИ в видеокарты, улучшаются микрокоды процессоров. Ответьте что лучше и походит больше на нейросеть, Огромный суперкомпьютер с затратами на электроэнергию и обслуживания , или миллиарды ПК юзеров по всему земному шару??)) Это официальная АИ зомбо сеть, которая типа телеметрия, ибудет забирать у вас ресурсы в простое. виндоус 11 уже обкатан и прекрасно научился скрывать нагрузку.
Ну что за видок у товарища. ))))
Мне нравится :)))
Развелся уже ?
нет ничего хорошего в том, что зашифрованный диск нельзя прочитать нигде больше, потому что если вдруг гавкнеться материнская плата то и ваши данные тоже тогда пропадут, так как модуль это вшит в плату.
тема не раскрыта. Полезность TPM не доказана