In generale, è necessario sapere quali TPM e TXT e tutte queste tecnologie sono mirate a proteggere, perché ci sono incomprensioni.
I TPM, in genere, abilitano 5 processi distinti e solo quelli:
- Misura di integrità - calcolo di un hash crittografico di un componente di piattaforma
- Avvio autenticato - un processo mediante il quale lo stato di una piattaforma (la somma dei suoi componenti) viene misurato e memorizzato in modo affidabile
- Archiviazione sigillata: il processo di archiviazione dei dati su una piattaforma in modo tale che i dati possano essere recuperati solo se la piattaforma si trova in uno stato particolare
- Attestation - il processo di reporting affidabile dello stato corrente della piattaforma
- Esecuzione isolata - abilita l'esecuzione senza ostacoli del software
Dal punto di vista di Intel, TXT è l'insieme delle funzioni di trusted computing incluso il TPM, le modifiche al funzionamento del processore e le modifiche al funzionamento del chipset.
Le caratteristiche principali della tecnologia TXT sono tutte quelle del TPM più
- esecuzione protetta (separazione del dominio basata su hardware)
- pagine di memoria protette (che offrono protezione contro tutti e quattro i diversi modi in cui è possibile accedere alla memoria - tramite software, tramite DMA, attraverso schede GPU, tramite SMM)
- input protetto
- grafica protetta
- abilitazione dei canali attendibili (tra due computer o dispositivi tra un computer)
La funzione Late Launch di cui parli è una funzione TXT opzionale che consente di eseguire le misurazioni dopo l'avvio di un sistema anziché ogni fase dei processi di avvio, è piuttosto complicato.
Generalmente Trusted Computing è un progetto enorme, con molte ricerche in corso in tutto il mondo da anni e ha obiettivi a breve, medio e lungo termine. Devo rivelare qui che faccio parte di quella ricerca.
Passiamo ora alle implementazioni reali (sebbene queste siano fuori dal mio campo)
Prima di tutto, tutti i principali produttori di sistemi hanno hardware e software aziendali che fanno uso di TPM, alcune delle sue funzionalità. Aziende come Dell e HP che producono la maggior parte dei sistemi aziendali utilizzano software come ( HP ProtectTools ). In questo esempio, l'autenticazione di preavvio viene utilizzata con l'aiuto di un TPM. Microsoft è stata in questa ricerca da sempre e ha ridimensionato Bitlocker con supporto per TPM prima di Vista. In realtà BitBlocker non riguarda solo la crittografia: ha una funzionalità separata denominata Avvio protetto che implementa la parte di verifica dell'integrità (potrebbe essere lì senza il componente di crittografia). L'operazione trasparente ha a che fare con l'autenticazione - può funzionare anche in modalità di autenticazione pre-avvio. Anche i software di sicurezza, come symantec e mcaffee, dispongono di software che fa affidamento o fa uso di TPM.
Ora, non sono a conoscenza di nessun altro software open source commerciale o pronto all'uso che si occupa di TPM e di attestazione o di qualsiasi altra funzionalità. (ma come ho detto non ho guardato molto, forse un altro membro ne sa di più).
Se vuoi strumenti sperimentali, software proof of concept o solo documenti e specifiche, ce ne sono molti - come ho detto ci sono obiettivi a lungo termine nel progetto, e l'attestazione è uno degli obiettivi a lungo termine. Ecco un esempio di implementazione di riferimento dello stack software necessario per supportare tutte le funzionalità di un TPM in linux: link (il software è al link )
Proprio per incuriosire i lettori, il controllo dell'accesso alla rete è un'area di ricerca attiva - gli strumenti commerciali possono già esistere su quello. L'idea generale in NAC che utilizza TPM è ovviamente quella di consentire un dispositivo in una rete solo se può essere verificato come sicuro fornendo misure specifiche, non solo sull'integrità del software avviato, ma anche sul livello delle patch applicate, definizioni anti-virus, configurazione del firewall ... Altri esempi di ricerca: download di software sicuro, come in un gestore di telefonia mobile che deve aggiornare in modo sicuro il firmware di un telefono over the air, in particolare il software di Software Defined Radio. Naturalmente, Digital Video Broadcasting (DVB) è un'area o ricerca: i ricevitori dvb utilizzano già le smartcard per memorizzare le chiavi, ma è possibile utilizzare i TPM.
Obiettivi a lungo termine? Immagina un mondo in cui ogni sistema e dispositivo mobile ha un TPM: un coprocessore crittografico, un'archiviazione sicura ... e può generare coppie di chiavi pubbliche su richiesta, senza interazione dell'utente: una PKI mondiale - sono in corso ricerche su come gestire e cosa fare con che!
Penso di essermi allontanato molto dalla portata della domanda, quindi questo dovrebbe essere sufficiente.