TPM - wie klappt das im Detail ?

TPM - wie klappt das im Detail ? (5 Beiträge, 280 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Will mich gerade etwas in TPM, Trusted Computing Platform und ähnliches einlesen.

Sobald das OS oben ist, kann man sich ja alles leicht vorstellen...
Auf dem Weg dorthin habe ich aber noch "Lernfelder" :-D

http://de.wikipedia.org/wiki/Trusted_Computing_Group#Core_Root_of_Trust_for_Measurement_.28CRTM.29

Core Root of Trust for Measurement (CRTM) [Bearbeiten]

Eine BIOS-Erweiterung namens Core Root of Trust for Measurement (CRTM) stellt die erste Stufe eines sicheren Bootprozesses dar. Beginnend mit dem CRTM wird dabei jeweils die Integrität des jeweils folgenden Codeabschnitts mit einer Hash-Funktion gemessen und der Messwert dann sicher und digital signiert im TPM abgelegt. Dies erfolgt hierarchisch, beginnend beim CRTM im BIOS, und setzt sich dann Schritt für Schritt zu den höheren Systemschichten hin fort: Restliches BIOS, Bootroutine, Betriebssystem-Lader, Betriebssystem-Kernel, Geräte-Treiber bis zu den Anwendungsprogrammen. Damit kann nach dem Bootvorgang von den Anwendungsprogrammen oder aber auch von einem externen Server überprüft werden, ob der Bootvorgang sicher abgelaufen ist, kein Bootvirus oder dergleichen vorhanden ist und ob das Betriebssystem korrekt gestartet wurde.

Wichtig ist dabei, dass diese Funktionen nicht im TPM, sondern im Lader bzw. Betriebssystem enthalten sind: diese benutzen für diese Funktionen wiederum die Fähigkeiten des TPM. Für jedes Betriebssystem muss diese Funktion individuell erstellt werden und im Bootteil des Betriebssystems implementiert werden.

Soweit ich das richtig verstehe:
(i) Gibt es das "hardcoded BIOS", das sich mal selbst überprüft
(ii) Danach den Rest vom BIOS (wohl das Flashbare, sowie die Einsetellungen)
(iii) Danach die Bootroutine (die ist doch auch im BIOS, oder?)
(iv) Danach den OS-Loader (zB TrustedGRUB)
(v) der Loader überprüft dann das OS (zB ein Kernel-Image)
(vi) Der Kernel dann die Driver (dll, modules)
(vii) Das OS dann die Proggies
(viii) und die Proggies evtl. die Daten

Meine Fragen:
(a) TPMs sind AFAIK wie Smartcards recht langsam. Im Rahmen eines Boots müssten mehrere 1000 Dateien überprüft werden - wie lange würde hier ein Boot dauern ?
(b) bei (iv): Wie wird das erste OS auf so einem System installiert ?
(c) bei (i): Gibt es wirklich ein BIOS, das sich selbst überprüft - und danach den OS-Loader ??
(d) Bei (i): Wozu überprüft ein "hardcoded BIOS" sich selbst ? Entweder es ist modifizierbar, dann wird ein gefälschtes BIOS "lügen" - oder es ist nicht modifizierbar, dann macht der Selbstcheck keinen Sinn
(e) Bei (ii): Überprüft _irgendein_ BIOS seine Einstellungen, ... ?
(f) Bei (iii): Wieso wird die Bootroutine (die Bestandteil des BIOS ist) nochmals geprüft ?
(g) Bei (iv): Überprüft _irgendein_ BIOS den Bootloader ?
(h) Bei (vi): Überprüft _irgendein_ OS alle seine Driver (DLLs/Module/...) wirklich kryptographisch selbst ?
(i) Bei (vii): Überprüft _irgendein_ OS alle seine Programme wirklich kryptographisch selbst ?
(j) Bei (viii): Überprüfen in _irgendeinem_ System alle Proggies alle Configs und Daten, bevor sie starten ?

Ich vermute als Laie, dass erst ab einem OS-Loader TPM zum Einsatz kommen kann (TrustedGRUB). Ich vermute allerdings auch, dass man so keine sichere Plattform hinbekommt, weil ja der OS-Loader austauschbar wäre. Wo ist mein Denkfehler ?

Wenn wer zu meinen Fragen Antworten hat oder mir Denkfehler aufzeigt, würde ich mich freuen :-D

Thx

Re: TPM - wie klappt das im Detail ? (DaSony am 02.11.2010, 13:26:24)

Re(2): TPM - wie klappt das im Detail ? (kombipaket am 02.11.2010, 13:29:43)

Re(3): TPM - wie klappt das im Detail ? (DaSony am 02.11.2010, 14:03:45)

Re: TPM - wie klappt das im Detail ? (LinaInverse am 02.11.2010, 21:09:27)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung