Come vengono forniti i TPM per Intel Trusted Execution Environment (TXT)?

13

Perché Intel TXT funzioni, è necessario eseguire il provisioning del TPM. Intel fornisce alcuni strumenti per farlo, ma molti sono protetti da login non pubblico o da una NDA. Molti fornitori di piattaforme OEM forniscono le proprie schede e macchine in fase di produzione in modo che un utente finale possa utilizzare TXT. Detto questo, ho difficoltà a trovare i dettagli sullo stato in cui il TPM deve funzionare con TXT.

Quali sono i dettagli del provisioning TXT WRT del chip TPM?

E inoltre: Ci sono configurazioni TPM server e client per TXT. Qual è la differenza tra i due?

    
posta Wilbur Whateley 15.06.2016 - 23:38
fonte

1 risposta

4

Intel TXT è un sistema complesso progettato per fornire un livello hardware di sicurezza che può impedire che le modifiche al livello del software provochino un maggiore accesso per gli aggressori. Tramite l'uso di hash memorizzati di stati positivi noti per firmware, BIOS e carichi del sistema operativo, TXT può indicare quando qualcosa è cambiato al di fuori di uno stato buono noto. Questo è utile per identificare potenziali rootkit all'interno di un ambiente.

Secondo Intel, l'uso di TXT dipende da:

Intel TXT requires a server system with Intel VT, an Intel TXT-enabled processor, chipset, ACM, enabled BIOS, and an Intel TXT-compatible MLE (OS or hypervisor). In addition, Intel TXT requires the system to contain a TPM v1.2, as defined by the Trusted Computing Group (http://www.trustedcomputinggroup.org), and specific software for some uses -- https://www.intel.com/content/www/us/en/architecture-and-technology/trusted-execution-technology/trusted-execution-technology-security-paper.html

Ora, TXT è stato inizialmente progettato per componenti di workstation in cui era previsto l'utilizzo di un solo sistema operativo in qualsiasi momento, escludendo le istanze virtuali all'interno dell'host (hypervisor di tipo 2). Ciò contrasta nettamente con i server che possono avere diversi host collegati al metallo nudo attraverso un hypervisor di tipo 1. Ciò ha richiesto la creazione di un sistema TXT più dinamico che valutasse i sistemi operativi di avvio come invece di tentare di leggere tutti i potenziali host all'inizio.

Oltre le differenze tra workstation e server, TXT non funziona con tutti i sistemi operativi o tutte le configurazioni del sistema operativo. Ad esempio, non tutte le versioni di Windows 10 consentono l'uso di intel TXT e device guard:

link

Per quanto riguarda la configurazione, cambia a seconda dell'hardware, del firmware e della selezione del sistema operativo. Vedi la guida alla configurazione di Intel:

link

    
risposta data 07.01.2019 - 00:43
fonte

Leggi altre domande sui tag