====== Trusted Platform Module (TPM) ======
{{ :public:research:tpm.png?150|}}
Tento návod je již zastaralý. Použijte prosím verzi uvedenou na [[https://crocs.fi.muni.cz/tpm |
https://crocs.fi.muni.cz/tpm]].
V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]].
**Pokud nám chcete pomoci, udělejte prosím tyto dva jednoduché kroky**:
- Zjistěte verzi TPM čipu ve vašem notebooku nebo PC (návod je uvedený níže)
- Zašlete výsledek (např. INTC 4.1, v1.2) s popisem vašeho stroje (např. Lenovo R500) Petrovi Švendovi na
Pro posouzení bezpečnosti TPM čipů potřebujeme získat data z čipů od co nejvíce výrobců a v různých verzích. Speciální radost nám udělají takové typy, které zatím v databázi nemáme. Cenné jsou ale i ty, které již máme - umožní nám srovnat chování v rámci celé řady. V případě, že budete mít zajímavý typ čipu, tak vás kontaktujeme zpět a poprosíme o sběr dodatečných dat. Pokud máte k dispozici více strojů, výborně, pošlete nám prosím výsledky ze všech. Máme zájem o co nejvíce různých výsledků - neváhejte tedy prosím přeposlat tuto prosbu dalším lidem. Díky pomoci vašich kolegů se podařilo zdvojnásobit počet různých výrobců v naší databázi.
**Aktuální počet různých čipů v databázi (2.1.2017)**
Manufacturer | Verze
IFX | 1.02, 3.17, 3.19, 4.32, 4.40, 5.0, 6.40, 6.41
ATML | 13.09, 41.1
STM | 8.32, 13.08, 13.12
WEC | 5.81
INTC | 2.0, 4.1, 10.0, 11.0
NTC | 1.3
P.S. Pokud byste se chtěli sami zapojit během studia více do výzkumu v naší laboratoři, neváhejte se ozvat. Rádi s vámi probereme [[:public:research:main | zajímavá témata]], která lze následně rozvinout i do bakalářské nebo magisterské práce. Můžete se také zapojit do přednášek v rámci [[:public:openlab:main | OpenLabu]].
==== Instrukce pro majitele počítačů s OS Windows ====
Spusttě konzoli tpm.msc
* Stiskněte WinButton+R
* Napište a spusťte tpm.msc
{{ :public:research:tpm_msc_man.png?600 |}}
V sekci TPM Manufacturer Information zjistěte výrobce, verzi čipu a podporovanou verzi standardu (viz. obrázek, např. IFX 4.40, specifikace 1.2). Informaci buď opište, nebo přímo udělejte screenshot obrazovky a zašlete nám ji.
==== Instrukce pro majitele počítačů s OS Linux ====
Zjištění verze je o něco komplikovanější a využívá [[https://sourceforge.net/projects/trousers/ | projektu TrouSerS]], na zjednodušení ještě pracujeme. Můžete zkusit sérii následující příkazů (uvedené příkazy jsou pro distribuci Ubuntu):
sudo apt-get install tpm-tools
tpm_setactive -s
tpm_setactive -a
tpm_version
Pokud se vám zobrazí výrobce a číslo verze, přepošlete nám prosím získaný výstup. Pokud tpm_version vrací //communication failure//, zkuste:
systemctl restart tcsd
tpm_version
===== Inicializace a příprava čipu =====
Je možné že TPM čip již aktivně využíváte (např. pro Bitlocker), ale mnohem pravděpodobněji jej máte ve svém notebooku nebo PC zcela nevyužit a zatím neinicializovaný.
**V případě, že TPM čip již využíváte nebo máte počítač s více operačnímy systémy (dual boot), kontaktujte nás prosím před dalšími kroky, abyste jste si čip nedopatřením neinicializovali dvakrát.**
**Incializace se skládá ze dvou kroků: **
- Povolení TPM čipu v BIOSU
- restartujte počítač, vstupte do BIOSu, nalezněte sekci TPM nebo Security chip
- TPM se může nacházet ve třech stavech: zcela vypnuto / neaktivní / aktivní. Zvolte možnost **aktivní**.
- Potvrzení "vlastnictví" (ownership) ve vašem operačním systému (viz. návod níže)
==== Instrukce pro majitele počítačů s OS Windows ====
V případě, že máte po spuštění //tpm.msc// aktivní nabídku Actions->Prepare the TPM..., tak čip není zatím inicializován. Klikněte na //Prepare the TPM// a následujte instrukce (bude vyžadovat potvrzení a reboot počítače). V případě že je nabídka Prepare the TPM šedá, čip již máte inicializován a můžete pokračovat dál.
{{ :public:research:tpm_prepare_man.png?600 |}}
==== Instrukce pro majitele počítačů s OS Linux ====
Připravte si TPM pomocí následujících příkazů:
#!/bin/bash
tpm_takeownership # zapamatujte si zvolene owner password
tpm_changeownerauth -s -r # nastavi SRK password na specialni hodnotu Well Known Secret (nemusite si pamatovat)
----