Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
public:research:tpm_data [2016-12-21 16:32] – [Instrukce pro majitele počítačů s OS Linux] xsvendapublic:research:tpm_data [2023-02-16 09:41] (current) xdufka1
Line 1: Line 1:
 ====== Experiment: Sběr dat z TPM modulu ====== ====== Experiment: Sběr dat z TPM modulu ======
 +<callout type="danger" icon="true">Tento návod je již zastaralý. Použijte prosím verzi uvedenou na [[https://crocs.fi.muni.cz/tpm | 
 +https://crocs.fi.muni.cz/tpm]]. </callout>
 +
 {{ :public:research:tmp_2.jpg?150|}} {{ :public:research:tmp_2.jpg?150|}}
 V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]]. Tato stránka popisuje dva základní experimenty, kterými vygenerujete testovací podkladová data z vašeho TPM čipu a umožníte nám jejich výzkumné zpracování. V rámci [[main | laboratoře CRoCS]] na Fakultě Informatiky provádíme výzkum bezpečnosti kryptografického hardware TPM (Trusted Platform Module), který je nyní umisťován do většiny notebooku a PC. Jedná se de facto o čipovou kartu, která umožňuje mimo jiné generovat a ukládat kryptografické klíče nebo poskytovat základ pro tzv. [[https://en.wikipedia.org/wiki/Trusted_Computing | Trusted boot]]. Tato stránka popisuje dva základní experimenty, kterými vygenerujete testovací podkladová data z vašeho TPM čipu a umožníte nám jejich výzkumné zpracování.
Line 10: Line 13:
  
 **Příprava experimentu:** **Příprava experimentu:**
-  * Je nutné mít TPM čip aktivovaný v BIOSu (pokud korektně získate verzi dle postupu [[:public:research:tpm | uvedeného zde]], tak máte čip korektně aktivovaný) +  * Je nutné mít TPM čip aktivovaný v BIOSu inicializovaný v OS (viz. Inicializace a příprava čipu níže)
-  * Je nutné mít TPM čip inicializovaný (viz. Inicializace a příprava čipu níže) +
  
 **Data sbíraná v rámci experimentu:** **Data sbíraná v rámci experimentu:**
 +  * Veřejné klíče TPM (Endorsement key, Root Storage key)
   * 1000 veřejných RSA klíčů generovaných na TPM čipu   * 1000 veřejných RSA klíčů generovaných na TPM čipu
   * 100MB náhodných dat produkovaných TPM čipem    * 100MB náhodných dat produkovaných TPM čipem 
  
 +Pozn. V rámci experimentu **nesbíráme** žádné vaše privátní klíče. Z principu konstrukce TPM to ani není možné - exportovat lze pouze veřejnou část RSA klíčů.
 ---- ----
  
 ===== Inicializace a příprava čipu ===== ===== Inicializace a příprava čipu =====
 Je možné že TPM čip již aktivně využíváte (např. pro Bitlocker), ale mnohem pravděpodobněji jej máte ve svém notebooku nebo PC zcela nevyužit a zatím neinicializovaný. V případě, že TPM čip již využíváte nebo máte počítač s více operačnímy systémy (dual boot), kontaktujte nás prosím před dalšími kroky, abyste jste si čip nedopatřením neinicializovali dvakrát.  Je možné že TPM čip již aktivně využíváte (např. pro Bitlocker), ale mnohem pravděpodobněji jej máte ve svém notebooku nebo PC zcela nevyužit a zatím neinicializovaný. V případě, že TPM čip již využíváte nebo máte počítač s více operačnímy systémy (dual boot), kontaktujte nás prosím před dalšími kroky, abyste jste si čip nedopatřením neinicializovali dvakrát. 
 +
 +<callout type="info">
 +**Incializace se skládá ze dvou kroků: **
 +  - Povolení TPM čipu v BIOSU 
 +    - restartujte počítač, vstupte do BIOSu, nalezněte sekci TPM nebo Security chip
 +    - TPM se může nacházet ve třech stavech: zcela vypnuto / neaktivní / aktivní. Zvolte možnost **aktivní**. 
 +  - Potvrzení "vlastnictví" (ownership) ve vašem operačním systému (viz. návod níže)
 +</callout>
  
 ==== Instrukce pro majitele počítačů s OS Windows ==== ==== Instrukce pro majitele počítačů s OS Windows ====
Line 52: Line 64:
 for /l %%x in (1, 1, 10000) do ( for /l %%x in (1, 1, 10000) do (
  PCPTool.exe CreateKey test >> TPMkeys.txt  PCPTool.exe CreateKey test >> TPMkeys.txt
 + echo 'Key ' %%x ' generated'
 ) )
 </code> </code>
 +
 +  - Spustťe příkazový řádek cmd **s administrátorskými právy**
 +  - Spustťe následující sekvenci příkazů a zašlete nám prosím soubory TPM_EK.txt a EKCert.p7b
 +<code bash>
 +PCPTool.exe GetVersion >> TPM_EK.txt
 +PCPTool.exe GetEK >> TPM_EK.txt
 +PCPTool.exe GetSRK >> TPM_EK.txt
 +PCPTool.exe GetEKCert # uložte certifikát do souboru EKCert.p7b včetně všech dalších certifikátů v cestě  (viz. obrázek) 
 +</code>
 +
 +{{ :public:research:cmd_getekcert.png?800 |}}
  
 ==== Instrukce pro majitele počítačů s OS Linux ==== ==== Instrukce pro majitele počítačů s OS Linux ====
  
-  - Nainstalujte si balík simple-tpm-pkcs11: //sudo apt install simple-tpm-pkcs11//+  - Nainstalujte si balík simple-tpm-pkcs11: //sudo apt install simple-tpm-pkcs11// ([[https://github.com/ThomasHabets/simple-tpm-pk11 | GitHub]])
   - Spustťe v cyklu příkaz //stpm-keygen// (viz. script níže)   - Spustťe v cyklu příkaz //stpm-keygen// (viz. script níže)
   - Zašlete nám výsledný soubor TPMkeys.txt    - Zašlete nám výsledný soubor TPMkeys.txt