Trusted Platform Module, scheda figlia o TPM onboard?

6

In molti casi in cui viene utilizzato un Trusted Platform Module (chip TPM) , viene saldato direttamente sulla scheda madre. Apparentemente il produttore della scheda madre è quindi l'unico responsabile per l'integrazione del BIOS e del modulo TPM e della resistenza generale alla manomissione della soluzione.

I moduli TPM sono disponibili anche come schede secondarie aggiuntive, che si collegano a un piccolo connettore a 19 pin sulla scheda madre.

Dal punto di vista della sicurezza, una soluzione è chiaramente migliore o peggiore rispetto all'altra? Esiste una funzionalità specifica che si dovrebbe cercare nel BIOS o nel modulo TPM quando si utilizza un TPM di scheda figlia?

    
posta Jesper Mortensen 15.12.2013 - 11:19
fonte

2 risposte

4

Normalmente una scheda figlia implica l'utilizzo di un bus LPC (Low Pin Count). Questo bus è lento e può essere facilmente monitorato / manipolato. Questa è la base del famoso TPM reimposta l'attacco alla versione 1.1 .

1.2 ha introdotto il concetto di localizzazione che mitiga questo problema, ma si dice che non completamente impedito (non dimostrato) - la finestra di attacco è molto più piccola ma la comunicazione non è autenticata.

Non tutti i TPM sono uguali e puoi scegliere il tuo livello di sicurezza. Mentre una scheda figlia probabilmente non mitigherebbe l'attacco di reset fisico, un sacco di nuovi TPM sono integrati nel chipset - dal 2009 se ricordo. Intel fornisce quei TPM come parte della loro tecnologia vPro. Corrono con applicazione all'interno del motore di gestione nel Platform Controller Hub su nuova architettura o northbridge altrimenti . A sua volta, significa che la superficie di attacco è molto probabilmente nullo.

    
risposta data 12.02.2014 - 02:58
fonte
2

L'idea di base del TPM è che si tratta di un'identità legata all'hardware, nel senso che in modo univoco identifica un singolo computer. Nel caso del PC, "computer" significa "scheda madre": il TPM deve essere integrato nel processo di avvio in un modo particolare, che richiede la cooperazione del BIOS, che risiede sulla scheda madre.

Avere un TPM su una scheda figlia interrompe quell'ipotesi di progettazione sottostante: significa che un TPM può spostarsi da una macchina all'altra, cosa che non dovrebbe essere in grado di fare.

Che sia davvero una brutta cosa ... onestamente non lo so. Dipende da quanto profondamente tale assunto sia legato alla progettazione dei protocolli Trusted Computing. Ma come qualcuno che è relativamente esperto in roba di TC, mettere la cosa su una carta figlia innesca il mio 'riflesso del male' in un modo grande.

    
risposta data 10.04.2015 - 18:10
fonte

Leggi altre domande sui tag