Введение

Trusted Platform Module (TPM) — название спецификации, детализирующей криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например в виде «чипа TPM» или «устройства безопасности TPM» (Dell).

Trusted Platform Module (TPM), криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи так и для шифрования/дешифрования), с той же степенью неповторяемости, как и генератор случайных чисел. Так же этот модуль включает следующие возможности: удалённую аттестацию, привязку, и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы, и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение, или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. ТСЗАП). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют.
Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система.
Архитектура TPM



В спецификации TCG описан минимальный набор алгоритмов и протоколов, которым должен удовлетворять чип TPM. Кроме того, производителем могут быть реализованы дополнительные алгоритмы и протоколы (которые, разумеется, должны быть описаны производителем в соответствующей документации).

Итак, чип безопасности представляет собой специализированную микросхему (см. рисунок) включающую:

- криптографический сопроцессор;

- связующую логику;

- специализированный интерфейс;

- генератор случайных чисел;

- логику защиты от атак по тактовой частоте;

- сенсоры: частоты, напряжения, температуры, освещения, импульсных помех.
В соответствии со спецификацией TPM чип должен выполнять, как минимум, следующий набор функций:

- хранение информации о статусе ОС;

- генерация и хранение закрытого ключа;

- хеширование (SHA-1) файлов;

- формирование ЭЦП;

- обеспечение цепочки доверия для ключей, сертификатов и других критичных данных.
Технологическими особенностями чипа безопасности являются:

- высокая степень интеграции элементов;

- энергонезависимая память;

- ППЗУ;

- скрытая структура ПЗУ.
Использование новейших технологий производства ИС дает уверенность, что для взлома чипа хакеру потребуется очень дорогое оборудование и это ограничит число потенциальных нарушителей, понизит риски. Подделка такого высокотехнологичного чипа по сравнению с его взломом будет стоить еще дороже. В архитектуре чипа реализованы следующие механизмы:

- защищенное управление памятью;

- шифрование шины/памяти;

- тестирование режимов блокирования;

- активное экранирование.
В архитектуре чипа реализованы следующие защитные алгоритмы:

·       защищённое управление памятью,

·       шифрование шины и данных,

·       активное экранирование.
Активное экранирование позволяет чипу детектировать электрическое тестирование и, в случае необходимости, блокировать чип. Кроме того, при изготовлении TPM используются и нестандартные технологические шаги, такие как запутывание топологии слоёв ИС. Эти меры значительно усложняют взлом чипа, увеличивают стоимость взлома, что ведёт к уменьшению потенциальных нарушителей.

Ввод/Вывод (англ. I/O)

Этот компонент управляет потоком информации по шине. Направляет сообщения к соответствующим компонентам. I/O компонент вводит в действие политику доступа, связанную с функциями TPM.

Криптографический процессор

Осуществляет криптографические операции внутри TPM. Эти операции включают в себя:

·       Генерация асимметричных ключей (RSA);

·       Асимметричное шифрование/расшифрование(RSA);

·       Хэширование (SHA-1);

·       Генерация случайных чисел.
TPM использует эти возможности для генерации случайных последовательностей, генерации асимметричных ключей, цифровой подписи и конфиденциальности хранимых данных. Также TPM поддерживает симметричное шифрование для внутренних нужд. Все хранимые ключи по силе должны соответствовать ключу RSA длиной 2048 бит.

Энергонезависимая память (англ. Non-Volatile Storage)

Используется для хранения ключа подтверждения, корневого ключа (англ. Storage Root Key, SRK), авторизационных данных, различных флагов.

Ключ подтверждения (англ. Endorsement Key, EK)

EK — ключ RSA размером 2048 бит. Открытая чаcть называется PUBEK, закрытая — PRIVEK. EK генерируется до того, как конечный пользователь получит платформу. Последующие попытки сгенерировать или вставить EK не должны выполняться. Таким образом, EK — ключ, связанный с чипом. TPM должен гарантировать, что PRIVEK не будет доступен вне чипа. Используется только для установления владельца TPM и установления AIK.

Регистры

конфигурации

платформы
(Platform Configuration Registers, PCR)


Могут хранится как в энергонезависимой, так и в энергозависимой памяти. Эти регистры сбрасываются при старте системы или при потери питания. TCG предписывает минимальное количество регистров (16). Регистры 0-7 зарезервированы для нужд TPM. Регистры 8-15 доступны для использования операционной системой и приложениями. Размер всех регистров — 160 бит.

Ключи подтверждения подлинности (англ. Attestation Identity Keys, AIK)

Эти ключи должны быть постоянными, но рекомендуется хранить AIK в виде блобов в постоянной внешней памяти (вне TPM), а не внутри энергонезависимой памяти TPM. TCG предполагает, что производители обеспечат достаточно места для многих блобов AIK, которые будут одновременно загружаться в энергозависимую память TPM. AIK — ключ RSA длиной 2048 бит. Фактически, TPM может сгенерировать неограниченное количество AIK. TPM должен защищать закрытую часть асимметричного ключа. AIK не используется для шифрования, только для подписей. Переход AIK от одного TPM к другому должен быть запрещён.

Генератор случайных чисел (англ. Random Number Generator, RNG)

Используется для генерации ключей и случайностей в сигнатурах. TPM должен быть способным обеспечить 32 случайных бита на каждый вызов. RNG чипа состоит из следующих компонентов:

·       Источник энтропии и коллектор

Источник энтропии — процесс (или процессы), обеспечивающие энтропию. Такими источниками могут быть шум, счётчик тактов процессора и другие события. Коллектор энтропии — процесс, который собирает энтропию, удаляет смещение, выравнивает выходные данные. Энтропия должна передаваться только регистру состояния.

·       Регистр состояния

Реализация регистра состояния может использовать 2 регистра: энергозависимый и независимый. При старте TPM загружает энергозависимый регистр из энергонезависимого. Любое последующее изменение регистра состояния от источника энтропии или от смешивающей функции влияет на энергозависимый регистр. При выключении TPM записывает текущее значение регистра состояния в энергонезависимый регистр (такое обновление может происходить и в любое другое время). Причиной такой реализации является стремление реализовать энергонезависимый регистр на флэш-памяти, количество записи в которую ограничено. TPM должен обеспечить отсутствие экспорта регистра состояния.

·       Смешивающая функция

Берёт значение из регистра состояния и выдаёт выходные данные RNG. Каждое использование смешивающей функции должно изменять регистр состояния.

При потери питания происходит сброс RNG. Любые выходные данные RNG для TPM должны быть защищены.

Устройство SHA-1 (англ. SHA-1 Engine)

Используется для вычисления сигнатур (подписей), создания блобов ключей и других целей общего назначения. Хэш-интерфейсы доступны вне TPM. Это позволяет окружению иметь доступ к хэш-функции.

Генератор ключей RSA (англ. RSA Key Generator)

Создаёт пары ключей RSA. TCG не накладывает минимальных требований ко времени генерации ключей.

Устройство RSA (англ. RSA Engine)

Используется для цифровых подписей и шифрования. Нет ограничений на реализацию алгоритма RSA. Производители могут использовать китайскую теорему об остатках или любой другой метод. Минимально рекомендуемая длина ключа — 2048 бит.   Значение открытой экспоненты должно быть 216 + 1.

Доверенная платформа (англ. The trusted Platform)

В системах TCG корни доверия (roots of trust) — компоненты, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR). RTM — вычислительный механизм, который производит надёжные измерения целостности платформы. RTS — вычислительный механизм, способный хранить хэши значений целостности. RTR — механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хэши этих измерений — «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хэш измеренных значений с хэшом доверенного состояния платформы можно говорить о целостности системы.

Возможные применения

Аутентификация

TPM может рассматриваться в качестве токена (Security token) аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам.  Это может использоваться, например, при защите электронной почты, основанной на шифровании или подписывании при помощи цифровых сертификатов, привязанных к TPM. Также отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN доступа.

Защита данных от кражи

Это основное назначение «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера.

Преимущества:

·       Улучшение производительности

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности.
·       Усиление безопасности

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

·       Низкие издержки использования

Не требуются модификации операционной системы, приложений и т. д. Для шифрования не используются ресурсы центрального процессора.
Большие перспективы имеет связка TPM+Bitlocker.Такое решение позволяет прозрачно от ПО шифровать весь диск.

Управление доступом к сети (NAC)

TPM может подтверждать подлинность компьютера и даже его работоспособность ещё до получения доступа к сети и, если необходимо, помещать компьютер в карантин.

Защита ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства, а чувствительные программы наподобие банковских и почтовых клиентов — от намеренной модификации. Сразу же будет пресечено добавление «троянского коня» в инсталлятор свежей версии мессенджера.

Защита от копирования

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.

Производители

Уже более 300000000 компьютеров были оснащены чипом TPM.  В будущем TPM может, устанавливаться на такие устройства, как мобильные телефоны. Микроконтроллеры TPM производятся следующими компаниями:

Atmel,

Broadcom,

Infineon,

Intel,

National Semiconductor,

Sinosun,

STMicroelectronics,

Nuvoton,

ITE.

Чипы безопасности основных производителей.

Рассмотрим особенности чипов безопасности различных поставщиков. Сравнительные характеристики чипов приведены в таблице.

Компания Infineon поставляет на рынок чип безопасности SLD 9630 TT, который представляет собой защищенный контроллер, включающий:
- защищенную перепрограммируемую память (EEPROM);

- аппаратный акселератор RSA криптоалгоритмов (вычисление ЭЦП, проверка ЭЦП, генерация ключей длиной до 2048 бит CRT);

- аппаратный акселератор хеш-функций (SHA-1, MD-5);

- генератор "правильных" случайных чисел;

- LPC-интерфейс, разработанный в соответствии со спецификацией Intel.
Чип характеризуется малой мощностью потребления, усовершенствованной защитой, в частности от SPA/DPA-атак, и легко интегрируется в известные PC-платформы.



ПО чипа безопасности SLD 9630 TT имеет ряд особенностей: встроенную защищенную ОС; программный стек TSS, созданный с учетом спецификации 1.1b комитета TCG; криптографический сервис-провайдер (CSP) спецификации TPM.
Дизайн и архитектура чипа отличаются следующими специфическими элементами и функциональными особенностями:
- нетиповой ЦП;

- применение скрытой топологии;

- ограниченный интерфейс;

- генератор случайных чисел;

- средства защиты от атак по питанию и тактовой частоте;

- защита управления памятью;

- шифрование данных, хранящихся в памяти и передающихся по шинам;

- блокирование режима тестирования.
В производстве чипа SLD 9630 TT используется передовая технология высокой степени интеграции, обеспечивающая изолированность ячеек ППЗУ и сокрытие структуры ПЗУ.
Чип SLD 9630 TT представляет собой специализированную ИС с заказными алгоритмами защиты, связующей логики и активным экранированием. Он содержит сенсоры частоты, напряжения, температуры, света, импульсных помех.
Подложка чипа имеет:

- экранирование слоев;

- неметаллический слой коммутации;

- плавкие перемычки;

- матричные ИС FPGA (перепрограммируемая пользователем вентильная матрица).
Чипы безопасности компании Infineon поставляются вместе с типовыми криптобиблиотеками MS CAPI и PKCS#11, обеспечивающими легкую интеграцию с функциями безопасности чипа существующих ОС и многих приложений.
Компания Atmel контролирует львиную долю рынка чипов безопасности: c 1998 г. объем проданных чипов AT97SC3201 (TPM 1.1) достиг 5 млн. шт. C конца 2004 г. эта фирма производит чип AT97SC3202, совместимый со спецификацией TPM 1.2.
Новая микросхема AT97SC3202 имеет электронную защиту, которая детектирует и предотвращает попытки чтения внутреннего содержимого чипа. Также чип содержит в себе металлические экранирующие слои над внутренними электрическими цепями; выполняет шифрование данных, передаваемых по внутренним шинам; имеет специальные процедуры для тестирования защиты; противодействует timing-атакам и атакам по электропитанию.
Чип поставляется вместе с драйверами для ОС Linux и Windows 98, 2000, XP. Новые возможности AT97SC3202 обеспечивают: транспортные сессии, функционирование часов реального времени, локализацию, сохранение и восстановление контекста, DAA-аттестацию (direct anonymous attestation), энергонезависимое хранение данных и механизм делегирования.
Транспортные сессии позволяют удостовериться, что чип AT97SC3202 выполняет определенные команды (шифрование, дешифрование, генерацию ключей и т.п.). Транспортные сессии могут быть полезны, например, для администратора безопасности ИТ-подразделения при отслеживании операций резервного копирования ключей или контроля ноутбука с точки зрения правильности конфигурации модуля TPM.
Встроенные в чип часы реального времени предназначены для подстановки текущей даты и времени в процедуру формирования ЭЦП. Данная возможность применима при электронном обмене коммерческими контрактами, финансовыми гарантиями, заказами и в других случаях, когда время является критичным параметром.
Локализация поддерживает расширенные защитные функции специализированных микропроцессоров и/или системных чипов.
Механизм сохранения и восстановления контекста обеспечивает поддержку многопоточных приложений. В TPM версии 1.1 нужно было завершить выполнение одной авторизационной сессии перед началом выполнения следующей. Управление контекстом позволяет привилегированным, критичным по времени процессам выгружать менее критичные и за счет этого повышать производительность.
Благодаря прямой анонимной аттестации (DAA) модуль TPM может создавать для Интернета идентификационные карты (Internet ID cards), аналогичные сертификатам, которые используются в механизмах ЭЦП. В настоящее время сертификаты могут быть заказаны третьей стороне, например компании Verisign. Данная функциональность обеспечивает защиту пользовательских данных.
Делегирование позволяет собственнику TPM получить выборочный доступ к другим объектам с целью выполнения модулем TPM специальных функций, требующих присутствия собственника, - например, при генерации идентификатора пользователя. Кроме того, механизм делегирования разрешает пользователям временно предоставлять третьей стороне возможность использования любых ключей или формирования ЭЦП.
В отличие от других производителей компания National Semiconductor предложила решение, объединяющее в одной СБИС контроллер ввода-вывода и чип безопасности. Данный подход не только устраняет необходимость решать задачу размещения чипа без внесения изменений в типовые системные платы компьютера, но и создает задел на будущее. Компания Intel, опираясь на новую технологию La Grande, обещает с помощью чипа безопасности обеспечить контроль типовых интерфейсов ввода-вывода. Такой контроль затруднит перехват ввода-вывода пользовательской информации через буфер клавиатуры, доступ к содержимому защищенной памяти через контроллер DMA и к USB-устройствам и соответственно повысит уровень защищенности конфиденциальных данных (паролей, ключей, идентификаторов, сообщений и документов).
Швейцарская компания STMicroelectronics выпускает чип безопасности ST19WP18, совместимый со спецификацией TPM 1.2. Технологически чип наследует семейству ST19W-чипов для смарт-карт. За II квартал 2005 г. компания продала производителям системных плат для компьютеров более 1 млн. чипов ST19WP18. В частности, Intel применяет чипы безопасности STMicroelectronics в платах D945GNTLKR, D945GTPLKR, D945GCZLKR.
Чип безопасности по существу играет роль надежного встроенного сейфа для хранения "ключей" от дверей, за которыми хранится конфиденциальная информация в десктопах, ноутбуках и PDA-устройствах. Появление подобных чипов - естественная реакция на слабость существующих методов хранения таких "ключей".
Неотделимость чипа безопасности от программно-аппаратной платформы обеспечивает возможность идентификации и аутентификации рабочих станций пользователей КПК и других устройств.
Наличие в чипе хеш-функции и функций ассиметричного криптопреобразования для поддержки ЭЦП позволяет контролировать целостность программно-аппаратной среды локальной рабочей станций, а также программно-аппаратных сред, входящих во взаимодействие с удаленными станциями и устройствами.

Критика

Trusted Platform Module критикуется и за название (доверие — англ. trust — всегда обоюдное, в то время как пользователю-то разработчики TPM и не доверяют), так и за ущемления свободы, связанные с ним. За эти ущемления устройство часто называют Treacherous computing («вероломные вычисления»).

Потеря «владения» компьютером

Владелец компьютера больше не может делать с ним всё, что угодно, передавая часть прав производителям программного обеспечения. В частности, TPM может мешать (из-за ошибок в ПО или намеренного решения разработчиков):

·       переносить данные на другой компьютер;

·       свободно выбирать программное обеспечение для своего компьютера;

·       обрабатывать имеющиеся данные любыми доступными программами.


Подавление конкурентов

Программа, ставшая лидером отрасли (как AutoCAD, Microsoft Word или Adobe Photoshop) может установить шифрование на свои файлы, делая невозможным доступ к этим файлам посредством программ других производителей, создавая, таким образом, потенциальную угрозу свободной конкуренции на рынке прикладного ПО.
Поломка

При поломке TPM защищённые контейнеры оказываются недоступными, а данные в них — невосстановимыми. TPM практичен только если существует сложная система резервного копирования — естественно, для обеспечения секретности она должна иметь свои TPM’ы (которые также могут сломаться).

Взломы

На конференции по компьютерной безопасности Black Hat 2010 было объявлено о взломе чипа Infineon SLE66 CL PE, изготовленного по спецификации TPM.[7] Данный чип используется в компьютерах, оборудовании спутниковой связи и игровых приставках. Для взлома использовался электронный микроскоп (стоимостью около $70000). Оболочка чипа была растворена кислотой, для перехвата команд были использованы мельчайшие иголки. Infineon утверждают, что они знали о возможности физического взлома чипа. Борчерт (Borchert), вице-президент компании, заверил, что дорогое оборудование и техническая сложность взлома не представляет опасности для подавляющего большинства пользователей чипов.
Содержание

1 Введение

       1.1Краткий обзор

2 Архитектура TPM

        2.1 Ввод/Вывод (англ. I/O)

        2.2 Криптографический процессор

        2.3 Энергонезависимая память (англ. Non-Volatile Storage)

        2.4 Ключ подтверждения (англ. Endorsement Key, EK)

     2.5 Регистры конфигурации платформы (Platform Configuration Registers,        PCR)

       2.6 Ключи подтверждения подлинности ( Attestation Identity Keys, AIK)

       2.7 Генератор случайных чисел (англ. Random Number Generator, RNG)

       2.8 Устройство SHA-1 (англ. SHA-1 Engine)

       2.9 Генератор ключей RSA (англ. RSA Key Generator)

       2.10 Устройство RSA (англ. RSA Engine)

3 Доверенная платформа (англ. The trusted Platform)

4 Возможные применения

       4.1 Аутентификация

       4.2 Защита данных от кражи

       4.3 Управление доступом к сети (NAC)

       4.4 Защита ПО от изменения

       4.5 Защита от копирования

 5 Производители

       5.1 Чипы безопасности основных производителей
6 Критика

       6.1 Потеря «владения» компьютером

       6.2 Потеря анонимности

       6.3 Подавление конкурентов

       6.4 Поломка

7 Взломы

8  Список используемой литературы