TPM - wie klappt das im Detail ?

Re: TPM - wie klappt das im Detail ?

LinaInverse — Tue, 02 Nov 2010 20:09:27 GMT

a) TPMs sind AFAIK wie Smartcards recht langsam. Im Rahmen eines Boots müssten
mehrere 1000 Dateien überprüft werden - wie lange würde hier ein Boot dauern ?

Du kannst die Überprüfung in ein von der CPU ausgeführtes Programm auslagern. Das kann man ja schön kompakt halten und damit schnell durchs TPM prüfen lassen. Damit das Programm die Prüfung besteht darf es keinem Codestück, das nicht auch die gleiche Anforderung erfüllt, Laufzeit geben oder gar den Zugriff auf vertrauenswürdige Speicherbereiche geben.

b) bei (iv): Wie wird das erste OS auf so einem System installiert ?

Im Prinzip wie jedes Andere. Es muss halt mit einem passenden Zertifikat kommen, also mit dem Public Key einer vertrauenswürdigen Instanz signiert sein. Die dazu nötige Software steht im ROM oder ist selber zertifiziert.
Du behandelst das Ganze als reine Daten, bis es sein executalbe-flag verdient hat.

d) Bei (i): Wozu überprüft ein "hardcoded BIOS" sich selbst ?

Dritte Option: es ist irgendwie kaputtgegangen.
Ad e) Schon immer, falls die BIOS-Batterie wieder mal leer wird.

Re(3): TPM - wie klappt das im Detail ?

DaSony — Tue, 02 Nov 2010 13:03:45 GMT

Bitte gerne!

Zu deinen Fragen kann ich dir leider nicht allzu viel sagen, würde mich auch sehr interessieren:
a+b: keine Ahnung
d: sehe ich genauso wie du
e-j: Diese Fragen habe ich mir auch gestellt, dann allerdings aus Zeitmangel nicht weiter verfolgt. Meiner subjektiven Einschätzung zufolge würde ich (vor allem bei h), i) und j)) "nein" sagen, zumindest habe ich bis jetzt nichts dergleichen gesehen, gelesen oder gefunden (allerdings auch nicht ausreichend recherchiert)!

Re(2): TPM - wie klappt das im Detail ?

kombipaket — Tue, 02 Nov 2010 12:29:43 GMT

Danke mal für die Info...

Die Attestation mag ich noch mal weglassen, denn die setzt ja mal ein "sauberes" System voraus.

Hättest Du noch ein paar Worte zu meinen Verständnisfragen (a-j) ?

Re: TPM - wie klappt das im Detail ?

DaSony — Tue, 02 Nov 2010 12:26:24 GMT

Beginnend mit dem CRTM wird dabei jeweils die Integrität des jeweils folgenden
Codeabschnitts mit einer Hash-Funktion gemessen und der Messwert dann sicher
und digital signiert im TPM abgelegt.

Ist imho nicht 100% korrekt bzw zu schwammig: hier darf man sich nicht vorstellen, dass im TPM (bzw. genauer gesagt im PCR (Platform Configuration Registers)) eine "Liste" an Hashwerten gesammelt wird, dies passiert nämlich im SM Event Log (das sich auf jeglichem Speichermedium befinden kann). Im PCR des TPM wird immer nur der aktuelle Hash des inspzierten Codes zu dem bereits vorhandenen Hashwert im PCR dazugehashed (hash chain), also: PCR(i+1) <- SHA1(PCR(i), value)

(i) bis (viii) sollte circa stimmen, das wird einfach hierarchisch durchgegangen, also:
CRTM prüft BIOS, BIOS prüft Boot Loader, Boot Loader prüft OS, usw. wobei TPM und CRTM "trusted components" sind, und sich von denen ausgehend der "chain of trust" aufbaut.

Idealerweise ist CRTM im TPM enthalten, Implementierungen können es aber erforderlich machen, dass sich das CRTM zB im BIOS Boot Block befindet.

Einer der Grundgedanken dahinter ist ja Attestation, d.h. dass jemand anderer (remote) überprüfen kann, ob deine Konfiguration "sicher" ist. Da hierbei der PCR Hashwert herangezogen wird, und es da aufgrund versch. OS, Apps, etc zig "sichere" Werte gibt --> useless.

TPM - wie klappt das im Detail ?

kombipaket — Tue, 02 Nov 2010 11:09:32 GMT

Will mich gerade etwas in TPM, Trusted Computing Platform und ähnliches einlesen.

Sobald das OS oben ist, kann man sich ja alles leicht vorstellen...
Auf dem Weg dorthin habe ich aber noch "Lernfelder" :-D

http://de.wikipedia.org/wiki/Trusted_Computing_Group#Core_Root_of_Trust_for_Measurement_.28CRTM.29

Core Root of Trust for Measurement (CRTM) [Bearbeiten]

Eine BIOS-Erweiterung namens Core Root of Trust for Measurement (CRTM) stellt die erste Stufe eines sicheren Bootprozesses dar. Beginnend mit dem CRTM wird dabei jeweils die Integrität des jeweils folgenden Codeabschnitts mit einer Hash-Funktion gemessen und der Messwert dann sicher und digital signiert im TPM abgelegt. Dies erfolgt hierarchisch, beginnend beim CRTM im BIOS, und setzt sich dann Schritt für Schritt zu den höheren Systemschichten hin fort: Restliches BIOS, Bootroutine, Betriebssystem-Lader, Betriebssystem-Kernel, Geräte-Treiber bis zu den Anwendungsprogrammen. Damit kann nach dem Bootvorgang von den Anwendungsprogrammen oder aber auch von einem externen Server überprüft werden, ob der Bootvorgang sicher abgelaufen ist, kein Bootvirus oder dergleichen vorhanden ist und ob das Betriebssystem korrekt gestartet wurde.

Wichtig ist dabei, dass diese Funktionen nicht im TPM, sondern im Lader bzw. Betriebssystem enthalten sind: diese benutzen für diese Funktionen wiederum die Fähigkeiten des TPM. Für jedes Betriebssystem muss diese Funktion individuell erstellt werden und im Bootteil des Betriebssystems implementiert werden.

Soweit ich das richtig verstehe:
(i) Gibt es das "hardcoded BIOS", das sich mal selbst überprüft
(ii) Danach den Rest vom BIOS (wohl das Flashbare, sowie die Einsetellungen)
(iii) Danach die Bootroutine (die ist doch auch im BIOS, oder?)
(iv) Danach den OS-Loader (zB TrustedGRUB)
(v) der Loader überprüft dann das OS (zB ein Kernel-Image)
(vi) Der Kernel dann die Driver (dll, modules)
(vii) Das OS dann die Proggies
(viii) und die Proggies evtl. die Daten

Meine Fragen:
(a) TPMs sind AFAIK wie Smartcards recht langsam. Im Rahmen eines Boots müssten mehrere 1000 Dateien überprüft werden - wie lange würde hier ein Boot dauern ?
(b) bei (iv): Wie wird das erste OS auf so einem System installiert ?
(c) bei (i): Gibt es wirklich ein BIOS, das sich selbst überprüft - und danach den OS-Loader ??
(d) Bei (i): Wozu überprüft ein "hardcoded BIOS" sich selbst ? Entweder es ist modifizierbar, dann wird ein gefälschtes BIOS "lügen" - oder es ist nicht modifizierbar, dann macht der Selbstcheck keinen Sinn
(e) Bei (ii): Überprüft _irgendein_ BIOS seine Einstellungen, ... ?
(f) Bei (iii): Wieso wird die Bootroutine (die Bestandteil des BIOS ist) nochmals geprüft ?
(g) Bei (iv): Überprüft _irgendein_ BIOS den Bootloader ?
(h) Bei (vi): Überprüft _irgendein_ OS alle seine Driver (DLLs/Module/...) wirklich kryptographisch selbst ?
(i) Bei (vii): Überprüft _irgendein_ OS alle seine Programme wirklich kryptographisch selbst ?
(j) Bei (viii): Überprüfen in _irgendeinem_ System alle Proggies alle Configs und Daten, bevor sie starten ?

Ich vermute als Laie, dass erst ab einem OS-Loader TPM zum Einsatz kommen kann (TrustedGRUB). Ich vermute allerdings auch, dass man so keine sichere Plattform hinbekommt, weil ja der OS-Loader austauschbar wäre. Wo ist mein Denkfehler ?

Wenn wer zu meinen Fragen Antworten hat oder mir Denkfehler aufzeigt, würde ich mich freuen :-D

Thx