Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
Last revisionBoth sides next revision
public:research:tpm [2016-12-20 08:36] – [Trusted Platform Module (TPM)] xsvendapublic:research:tpm [2022-07-25 08:38] xsvenda
Line 1: Line 1:
 ====== Trusted Platform Module (TPM) ====== ====== Trusted Platform Module (TPM) ======
-{{ :public:research:tmp_2.jpg?100|}}+{{ :public:research:tpm.png?150|}} 
 +<callout type="primary" icon="true">Tento návod je již zastaralý. Použijte prosím verzi uvedenou na [[https://crocs.fi.muni.cz/public/research/tpm_live |  
 +https://crocs.fi.muni.cz/public/research/tpm_live]] </callout> 
 + 
 + 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 +---- 
 + 
 V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]]. V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]].
  
 <callout type="info">**Pokud nám chcete pomoci, udělejte prosím tyto dva jednoduché kroky**:  <callout type="info">**Pokud nám chcete pomoci, udělejte prosím tyto dva jednoduché kroky**: 
   - Zjistěte verzi TPM čipu ve vašem notebooku nebo PC (návod je uvedený níže)   - Zjistěte verzi TPM čipu ve vašem notebooku nebo PC (návod je uvedený níže)
-  - Zašlete výsledek (např. IFX 4.40, v1.2) s popisem vašeho stroje (např. Lenovo R500) Petrovi Švendovi na <svenda@fi.muni.cz> +  - Zašlete výsledek (např. INTC 4.1, v1.2) s popisem vašeho stroje (např. Lenovo R500) Petrovi Švendovi na <svenda@fi.muni.cz> 
 </callout> </callout>
  
-Pro posouzení bezpečnosti TPM čipů potřebujeme získat data z čipů od co nejvíce výrobců a v různých verzích. Speciální radost nám udělají takové typy, které zatím v databázi nemáme. Cenné jsou ale i ty, které již máme - umožní nám srovnat chování v rámci celé řady. V případě, že budete mít zajímavý typ čipu, tak vás kontaktujeme zpět a poprosíme o sběr dodatečných dat. Pokud máte k dispozici více strojů, výborně, pošlete nám prosím výsledky ze všech. Máme zájem o co nejvíce různých výsledků - neváhejte tedy prosím přeposlat tuto prosbu dalším lidem.+Pro posouzení bezpečnosti TPM čipů potřebujeme získat data z čipů od co nejvíce výrobců a v různých verzích. Speciální radost nám udělají takové typy, které zatím v databázi nemáme. Cenné jsou ale i ty, které již máme - umožní nám srovnat chování v rámci celé řady. V případě, že budete mít zajímavý typ čipu, tak vás kontaktujeme zpět a poprosíme o sběr dodatečných dat. Pokud máte k dispozici více strojů, výborně, pošlete nám prosím výsledky ze všech. Máme zájem o co nejvíce různých výsledků - neváhejte tedy prosím přeposlat tuto prosbu dalším lidem. Díky pomoci vašich kolegů se podařilo zdvojnásobit počet různých výrobců v naší databázi
  
  
-**Aktuální počet různých čipů v databázi (19.12.2016)**+**Aktuální počet různých čipů v databázi (2.1.2017)**
   Manufacturer | Verze   Manufacturer | Verze
-  IFX            1.02, 3.17, 3.19, 4.32, 4.40, 6.41 +  IFX          1.02, 3.17, 3.19, 4.32, 4.40, 5.0, 6.40, 6.41 
-  ATML           13.09 +  ATML         | 13.09, 41.1 
-  STM            8.32, 13.12 +  STM          8.32, 13.08, 13.12 
 +  WEC          | 5.81 
 +  INTC         | 2.0, 4.1, 10.0, 11.0  
 +  NTC          | 1.3
  
 <callout type="info"> <callout type="info">
Line 41: Line 74:
   tpm_version   tpm_version
  
 +Pokud se vám zobrazí výrobce a číslo verze, přepošlete nám prosím získaný výstup. Pokud tpm_version vrací //communication failure//, zkuste:
 +  systemctl restart tcsd
 +  tpm_version
 +  
 +===== Inicializace a příprava čipu =====
 +Je možné že TPM čip již aktivně využíváte (např. pro Bitlocker), ale mnohem pravděpodobněji jej máte ve svém notebooku nebo PC zcela nevyužit a zatím neinicializovaný. 
 +<callout type="warning">**V případě, že TPM čip již využíváte nebo máte počítač s více operačnímy systémy (dual boot), kontaktujte nás prosím před dalšími kroky, abyste jste si čip nedopatřením neinicializovali dvakrát.** 
 +</callout>
 +
 +<callout type="info">
 +**Incializace se skládá ze dvou kroků: **
 +  - Povolení TPM čipu v BIOSU 
 +    - restartujte počítač, vstupte do BIOSu, nalezněte sekci TPM nebo Security chip
 +    - TPM se může nacházet ve třech stavech: zcela vypnuto / neaktivní / aktivní. Zvolte možnost **aktivní**. 
 +  - Potvrzení "vlastnictví" (ownership) ve vašem operačním systému (viz. návod níže)
 +</callout>
 +
 +==== Instrukce pro majitele počítačů s OS Windows ====
 +V případě, že máte po spuštění //tpm.msc// aktivní nabídku Actions->Prepare the TPM..., tak čip není zatím inicializován. Klikněte na //Prepare the TPM// a následujte instrukce (bude vyžadovat potvrzení a reboot počítače). V případě že je nabídka Prepare the TPM šedá, čip již máte inicializován a můžete pokračovat dál.
 +
 +{{ :public:research:tpm_prepare_man.png?600 |}}
 +
 +==== Instrukce pro majitele počítačů s OS Linux ====
 +Připravte si TPM pomocí následujících příkazů: 
 +
 +<code bash>
 +#!/bin/bash
 +tpm_takeownership  # zapamatujte si zvolene owner password
 +tpm_changeownerauth -s -r # nastavi SRK password na specialni hodnotu Well Known Secret (nemusite si pamatovat)
 +</code>
 +
 +----
 +  
 +