Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
public:research:tpm [2016-12-20 08:35] – [Trusted Platform Module (TPM)] xsvendapublic:research:tpm [2023-02-16 09:42] (current) xdufka1
Line 1: Line 1:
 ====== Trusted Platform Module (TPM) ====== ====== Trusted Platform Module (TPM) ======
-{{ :public:research:tmp_2.jpg?200|}}+{{ :public:research:tpm.png?150|}} 
 +<callout type="danger" icon="true">Tento návod je již zastaralý. Použijte prosím verzi uvedenou na [[https://crocs.fi.muni.cz/tpm |  
 +https://crocs.fi.muni.cz/tpm]]. </callout> 
 V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]]. V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]].
  
 <callout type="info">**Pokud nám chcete pomoci, udělejte prosím tyto dva jednoduché kroky**:  <callout type="info">**Pokud nám chcete pomoci, udělejte prosím tyto dva jednoduché kroky**: 
   - Zjistěte verzi TPM čipu ve vašem notebooku nebo PC (návod je uvedený níže)   - Zjistěte verzi TPM čipu ve vašem notebooku nebo PC (návod je uvedený níže)
-  - Zašlete výsledek (např. IFX 4.40, v1.2) s popisem vašeho stroje (např. Lenovo R500) Petrovi Švendovi na <svenda@fi.muni.cz> +  - Zašlete výsledek (např. INTC 4.1, v1.2) s popisem vašeho stroje (např. Lenovo R500) Petrovi Švendovi na <svenda@fi.muni.cz> 
 </callout> </callout>
  
-Pro posouzení bezpečnosti TPM čipů potřebujeme získat data z čipů od co nejvíce výrobců a v různých verzích. Speciální radost nám udělají takové typy, které zatím v databázi nemáme. Cenné jsou ale i ty, které již máme - umožní nám srovnat chování v rámci celé řady. V případě, že budete mít zajímavý typ čipu, tak vás kontaktujeme zpět a poprosíme o sběr dodatečných dat. Pokud máte k dispozici více strojů, výborně, pošlete nám prosím výsledky ze všech. Máme zájem o co nejvíce různých výsledků - neváhejte tedy prosím přeposlat tuto prosbu dalším lidem.+Pro posouzení bezpečnosti TPM čipů potřebujeme získat data z čipů od co nejvíce výrobců a v různých verzích. Speciální radost nám udělají takové typy, které zatím v databázi nemáme. Cenné jsou ale i ty, které již máme - umožní nám srovnat chování v rámci celé řady. V případě, že budete mít zajímavý typ čipu, tak vás kontaktujeme zpět a poprosíme o sběr dodatečných dat. Pokud máte k dispozici více strojů, výborně, pošlete nám prosím výsledky ze všech. Máme zájem o co nejvíce různých výsledků - neváhejte tedy prosím přeposlat tuto prosbu dalším lidem. Díky pomoci vašich kolegů se podařilo zdvojnásobit počet různých výrobců v naší databázi
  
  
-**Aktuální počet různých čipů v databázi (19.12.2016)**+**Aktuální počet různých čipů v databázi (2.1.2017)**
   Manufacturer | Verze   Manufacturer | Verze
-  IFX            1.02, 3.17, 3.19, 4.32, 4.40, 6.41 +  IFX          1.02, 3.17, 3.19, 4.32, 4.40, 5.0, 6.40, 6.41 
-  ATML           13.09 +  ATML         | 13.09, 41.1 
-  STM            8.32, 13.12 +  STM          8.32, 13.08, 13.12 
 +  WEC          | 5.81 
 +  INTC         | 2.0, 4.1, 10.0, 11.0  
 +  NTC          | 1.3
  
 <callout type="info"> <callout type="info">
Line 41: Line 47:
   tpm_version   tpm_version
  
 +Pokud se vám zobrazí výrobce a číslo verze, přepošlete nám prosím získaný výstup. Pokud tpm_version vrací //communication failure//, zkuste:
 +  systemctl restart tcsd
 +  tpm_version
 +  
 +===== Inicializace a příprava čipu =====
 +Je možné že TPM čip již aktivně využíváte (např. pro Bitlocker), ale mnohem pravděpodobněji jej máte ve svém notebooku nebo PC zcela nevyužit a zatím neinicializovaný. 
 +<callout type="warning">**V případě, že TPM čip již využíváte nebo máte počítač s více operačnímy systémy (dual boot), kontaktujte nás prosím před dalšími kroky, abyste jste si čip nedopatřením neinicializovali dvakrát.** 
 +</callout>
 +
 +<callout type="info">
 +**Incializace se skládá ze dvou kroků: **
 +  - Povolení TPM čipu v BIOSU 
 +    - restartujte počítač, vstupte do BIOSu, nalezněte sekci TPM nebo Security chip
 +    - TPM se může nacházet ve třech stavech: zcela vypnuto / neaktivní / aktivní. Zvolte možnost **aktivní**. 
 +  - Potvrzení "vlastnictví" (ownership) ve vašem operačním systému (viz. návod níže)
 +</callout>
 +
 +==== Instrukce pro majitele počítačů s OS Windows ====
 +V případě, že máte po spuštění //tpm.msc// aktivní nabídku Actions->Prepare the TPM..., tak čip není zatím inicializován. Klikněte na //Prepare the TPM// a následujte instrukce (bude vyžadovat potvrzení a reboot počítače). V případě že je nabídka Prepare the TPM šedá, čip již máte inicializován a můžete pokračovat dál.
 +
 +{{ :public:research:tpm_prepare_man.png?600 |}}
 +
 +==== Instrukce pro majitele počítačů s OS Linux ====
 +Připravte si TPM pomocí následujících příkazů: 
 +
 +<code bash>
 +#!/bin/bash
 +tpm_takeownership  # zapamatujte si zvolene owner password
 +tpm_changeownerauth -s -r # nastavi SRK password na specialni hodnotu Well Known Secret (nemusite si pamatovat)
 +</code>
 +
 +----
 +  
 +