====== Trusted Platform Module (TPM) ======
{{ :public:research:tpm.png?150|}}
<callout type="danger" icon="true">Tento návod je již zastaralý. Použijte prosím verzi uvedenou na [[https://crocs.fi.muni.cz/tpm | 
https://crocs.fi.muni.cz/tpm]]. </callout>

V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]].

<callout type="info">**Pokud nám chcete pomoci, udělejte prosím tyto dva jednoduché kroky**: 
  - Zjistěte verzi TPM čipu ve vašem notebooku nebo PC (návod je uvedený níže)
  - Zašlete výsledek (např. INTC 4.1, v1.2) s popisem vašeho stroje (např. Lenovo R500) Petrovi Švendovi na <svenda@fi.muni.cz> 
</callout>

Pro posouzení bezpečnosti TPM čipů potřebujeme získat data z čipů od co nejvíce výrobců a v různých verzích. Speciální radost nám udělají takové typy, které zatím v databázi nemáme. Cenné jsou ale i ty, které již máme - umožní nám srovnat chování v rámci celé řady. V případě, že budete mít zajímavý typ čipu, tak vás kontaktujeme zpět a poprosíme o sběr dodatečných dat. Pokud máte k dispozici více strojů, výborně, pošlete nám prosím výsledky ze všech. Máme zájem o co nejvíce různých výsledků - neváhejte tedy prosím přeposlat tuto prosbu dalším lidem. Díky pomoci vašich kolegů se podařilo zdvojnásobit počet různých výrobců v naší databázi. 


**Aktuální počet různých čipů v databázi (2.1.2017)**
  Manufacturer | Verze
  IFX          | 1.02, 3.17, 3.19, 4.32, 4.40, 5.0, 6.40, 6.41
  ATML         | 13.09, 41.1
  STM          | 8.32, 13.08, 13.12
  WEC          | 5.81
  INTC         | 2.0, 4.1, 10.0, 11.0 
  NTC          | 1.3

<callout type="info">
P.S. Pokud byste se chtěli sami zapojit během studia více do výzkumu v naší laboratoři, neváhejte se ozvat. Rádi s vámi probereme [[:public:research:main | zajímavá témata]], která lze následně rozvinout i do bakalářské nebo magisterské práce. Můžete se také zapojit do přednášek v rámci [[:public:openlab:main | OpenLabu]].
</callout>



==== Instrukce pro majitele počítačů s OS Windows ====

Spusttě konzoli tpm.msc
  * Stiskněte WinButton+R 
  * Napište a spusťte tpm.msc

{{ :public:research:tpm_msc_man.png?600 |}}

V sekci TPM Manufacturer Information zjistěte výrobce, verzi čipu a podporovanou verzi standardu (viz. obrázek, např. IFX 4.40, specifikace 1.2). Informaci buď opište, nebo přímo udělejte screenshot obrazovky a zašlete nám ji. 

==== Instrukce pro majitele počítačů s OS Linux ====

Zjištění verze je o něco komplikovanější a využívá [[https://sourceforge.net/projects/trousers/ | projektu TrouSerS]], na zjednodušení ještě pracujeme. Můžete zkusit sérii následující příkazů (uvedené příkazy jsou pro distribuci Ubuntu):
  sudo apt-get install tpm-tools
  tpm_setactive -s
  tpm_setactive -a
  tpm_version

Pokud se vám zobrazí výrobce a číslo verze, přepošlete nám prosím získaný výstup. Pokud tpm_version vrací //communication failure//, zkuste:
  systemctl restart tcsd
  tpm_version
  
===== Inicializace a příprava čipu =====
Je možné že TPM čip již aktivně využíváte (např. pro Bitlocker), ale mnohem pravděpodobněji jej máte ve svém notebooku nebo PC zcela nevyužit a zatím neinicializovaný. 
<callout type="warning">**V případě, že TPM čip již využíváte nebo máte počítač s více operačnímy systémy (dual boot), kontaktujte nás prosím před dalšími kroky, abyste jste si čip nedopatřením neinicializovali dvakrát.** 
</callout>

<callout type="info">
**Incializace se skládá ze dvou kroků: **
  - Povolení TPM čipu v BIOSU 
    - restartujte počítač, vstupte do BIOSu, nalezněte sekci TPM nebo Security chip
    - TPM se může nacházet ve třech stavech: zcela vypnuto / neaktivní / aktivní. Zvolte možnost **aktivní**. 
  - Potvrzení "vlastnictví" (ownership) ve vašem operačním systému (viz. návod níže)
</callout>

==== Instrukce pro majitele počítačů s OS Windows ====
V případě, že máte po spuštění //tpm.msc// aktivní nabídku Actions->Prepare the TPM..., tak čip není zatím inicializován. Klikněte na //Prepare the TPM// a následujte instrukce (bude vyžadovat potvrzení a reboot počítače). V případě že je nabídka Prepare the TPM šedá, čip již máte inicializován a můžete pokračovat dál.

{{ :public:research:tpm_prepare_man.png?600 |}}

==== Instrukce pro majitele počítačů s OS Linux ====
Připravte si TPM pomocí následujících příkazů: 

<code bash>
#!/bin/bash
tpm_takeownership  # zapamatujte si zvolene owner password
tpm_changeownerauth -s -r # nastavi SRK password na specialni hodnotu Well Known Secret (nemusite si pamatovat)
</code>

----