Acasă → Informatică
Descriere: Trusted Platform Module (TPM), procesorul cripto, oferă un mijloc de a crea un chei de criptare sigure, care pot limita utilizarea de chei (pentru semnare și criptare / decriptare), cu același grad nonrepeatability ca și generatorul de numere aleatorii. De asemenea, acest modul include următoarele caracteristici: atestare la distanță, legare și stocare sigură sigură.
Rezumatul contine 1 fisier:
Kriptoprotsessor.docx
109,18 KB | Fișierul Microsoft Word deschis
Nu este posibilă descărcarea rezumatului modulului Trusted Platform Module. - Asistență tehnică
Kriptoprotsessor.docx
Trusted Platform Module (TPM) - specificații titlu, care detaliază procesorul cripto, care stochează cheile criptografice pentru protecția informațiilor, precum și implementările numele generalizate ale respectivelor specificații, de exemplu sub formă de «cip TPM“ sau «dispozitiv de securitate TPM» (Dell).
Trusted Platform Module (TPM), procesorul cripto, oferă un mijloc de a crea un chei de criptare sigure, care pot limita utilizarea de chei (pentru semnare și criptare / decriptare), cu același grad nonrepeatability ca și generatorul de numere aleatorii. De asemenea, acest modul include următoarele caracteristici: atestare la distanță, legare și stocare sigură sigură. atestarea de la distanță creează hardware-ul de conectare, portbagaj, și configurația gazdă (computerul OS), care permite unei terțe părți (cum ar fi un magazin de muzică digitală) pentru a verifica dacă software-ul sau muzica descărcat de la magazin, nu au fost modificate sau copiate de către utilizator (a se vedea. DRM ). Procesorul cripto criptează datele în așa fel încât să poată fi decriptat numai pe computerul care a fost criptat, care rulează același software. Legare de date criptează folosind TPM cheie avizare - o cheie unică RSA scrisă în cip în timpul procesului de fabricație, sau orice altă cheie care este de încredere.
Modulul TPM poate fi folosit pentru a autentifica hardware-ul. Deoarece fiecare cip TPM este unic pentru un dispozitiv specific, acest lucru face posibilă stabilirea fără echivoc a autenticității platformei. De exemplu, pentru a verifica dacă sistemul accesat este sistemul așteptat.
Specificația TCG descrie setul minim de algoritmi și protocoale pe care trebuie să le îndeplinească un cip TPM. În plus, producătorul poate implementa algoritmi și protocoale suplimentare (care, desigur, ar trebui să fie descrise de producător în documentația relevantă).
Deci, cipul de securitate este un microcip specializat (vezi figura) care include:
- un generator de numere aleatoare;
- logica protecției împotriva atacurilor la frecvența ceasului;
- senzori: frecvență, tensiune, temperatură, iluminare, zgomot de impuls.
În conformitate cu specificația TPM, cipul trebuie să efectueze cel puțin următoarele seturi de funcții:
- stocarea informațiilor privind starea sistemului de operare;
- generarea și stocarea cheii private;
- hashing (SHA-1);
- oferind un lanț de încredere pentru chei, certificate și alte date critice.
Caracteristicile tehnologice ale cipului de securitate sunt:
- grad ridicat de integrare a elementelor;
- structura latentă a ROM-ului.
Folosind cele mai recente tehnologii de fabricație IC dă încrederea că hacking-ul va necesita echipamente foarte costisitoare pentru a sparge cipul, ceea ce va limita numărul potențialilor violatori și va reduce riscurile. Falsificarea unui astfel de cip de înaltă tehnologie, în comparație cu hacking-ul său, va costa și mai mult. Următoarele mecanisme sunt implementate în arhitectura cipurilor:
- gestionarea memoriei protejate;
- testarea modurilor de blocare;
Următorii algoritmi de securitate sunt implementați în arhitectura cipurilor:
- gestionarea memoriei protejate,
- criptarea autobuzelor și datelor,
- protecția activă.
Ecranul activ permite cipului să detecteze testarea electrică și, dacă este necesar, să blocheze cipul. În plus, în fabricarea TPM se folosesc și pași tehnologici nestandard, cum ar fi îmbinarea topologiei straturilor IC. Aceste măsuri complică în mod semnificativ ruperea chipului, cresc costul de hacking, ceea ce duce la o reducere a potențialilor violatori.
Intrare / ieșire (I / O engleză)
Această componentă controlează fluxul de informații de pe magistrala. Trimite mesaje către componentele relevante. Componenta I / O impune politica de acces asociată funcțiilor TPM.
Efectuează operații criptografice în TPM. Aceste operațiuni includ:
- Generarea cheilor asimetrice (RSA);
- Criptare / decriptare asimetrică (RSA);
- Hashing (SHA-1);
- Generarea de numere aleatorii.
TPM utilizează aceste capacități pentru a genera secvențe aleatorii, a genera chei asimetrice, a semna digital și a stoca confidențialitatea datelor stocate. De asemenea, TPM susține criptarea simetrică pentru nevoile interne. Toate cheile stocate trebuie să se potrivească cu tasta RSA de 2048 de biți.
Stocare non-volatile
O cheie de confirmare (cheia de aprobare engleză, EK)
EK este o cheie RSA cu o dimensiune de 2048 de biți. Partea deschisă este numită PUBEK, închis - PRIVEK. EK este generat înainte ca utilizatorul final să primească platforma. Încercările ulterioare de a genera sau de a insera un EK nu trebuie efectuate. Astfel, EK este cheia asociată cu cipul. TPM ar trebui să se asigure că PRIVEK nu va fi disponibil în afara chipului. Se utilizează numai pentru a stabili proprietarul TPM și pentru a stabili AIK.
Regiștrii de configurare a platformei (PCR)
Ele pot fi stocate atât în memorie nevolatilă, cât și în cea volatilă. Aceste registre sunt resetate la pornirea sistemului sau când se pierde puterea. TCG prescrie un număr minim de registre (16). Registrele 0-7 sunt rezervate nevoilor TPM. Registrele 8-15 sunt disponibile pentru utilizare de către sistemul de operare și aplicații. Dimensiunea tuturor registrelor este de 160 de biți.
Cheile de autentificare (AIK)
Aceste chei trebuie să fie permanente, dar este recomandat să se stocheze AIK ca blobs în memoria externă permanentă (în afara TPM), mai degrabă decât în interiorul memoriei TPM nevolatile. TCG sugerează că producătorii vor oferi suficient spațiu pentru multe blocaje AIK care vor fi încărcate simultan în memoria TPM volatilă. AIK este o cheie RSA cu o lungime de 2048 de biți. De fapt, TPM poate genera un număr nelimitat de AIK-uri. TPM trebuie să protejeze partea închisă a cheii asimetrice. AIK nu este folosit pentru criptare, doar pentru semnături. AIK de tranziție de la un TPM la altul trebuie interzis.
Generator de numere aleatoare (RNG)
Acesta este folosit pentru a genera chei și aleatoare în semnături. TPM ar trebui să poată furniza 32 biți aleatoriu pe apel. Cipul RNG este compus din următoarele componente:
- Sursa entropiei și a colectorului
Sursa entropiei este un proces (sau procese) care asigură entropia. Astfel de surse pot fi zgomotul, contorul ceasului CPU și alte evenimente. Colectorul de entropie este un proces care colectează entropia, elimină offsetul și aliniază ieșirea. Entropia ar trebui transferată numai în registrul de stat.