processo di bootstrap TPM

5

Si supponga che la partizione del file in cui risiedono il sistema operativo del PC ei dati utente siano sigillati da un numero di PCR (Platform Configuration Registers) dedicati alle misurazioni del BIOS. Cosa succede durante il processo di avvio se il BIOS è infetto da un kit di root?

Trust di avvio con un TPM:
Quando la macchina è accesa, la radice della fiducia per la misurazione misura automaticamente il BIOS ed estende un registro PCR all'interno del TPM con quella misurazione. Quindi, il controllo viene trasferito al BIOS. Il BIOS misura successivamente il boot loader prima di trasferire il controllo ad esso. Questo processo continua con il caricamento del kernel del sistema operativo. Il kernel quindi misura tutto il codice che è carico per l'esecuzione prima di trasferire il controllo ad esso.

Questo significa che la prima attestazione del BIOS (l'hash calcolato non è lo stesso di prima, poiché il BIOS è infetto da un root kit) non funzionerà. Pertanto il controllo non viene trasferito al boot loader e il sistema operativo non si avvia?

    
posta niklr 24.08.2012 - 13:51
fonte

1 risposta

5

Il TPM non interrompe l'avvio. L'avvio continuerà, ma i PCR avranno un valore diverso rispetto a quello usato (dato che ora il BIOS è diverso da prima). Di conseguenza, il sistema non sarà in grado di annullare la chiusura dei dati sigillati. Naturalmente, se il bootloader o il kernel non è in grado di annullare la partizione sigillata, a seconda di come è scritta, potrebbe o meno essere in grado di continuare l'esecuzione senza accesso ai dati sigillati.

Sfondo: quando si sigillano i dati, i dati vengono crittografati sotto una chiave associata a un particolare stato del TPM. Successivamente, è possibile annullare la chiusura dei dati solo se il TPM si trova nello stesso stato. Quando dico "stato", intendo lo stato delle PCR.

Esempio: supponi di crittografare l'unità utilizzando BitLocker. BitLocker sigilla i dati sul disco rigido, associati a un particolare stato del TPM (ad esempio, associato a un particolare BIOS, bootloader e kernel). Ora supponiamo che in seguito cambi il tuo BIOS. Quindi lo stato del TPM dopo l'avvio sarà diverso. BitLocker non sarà più in grado di annullare la chiusura dei dati e non sarà più possibile accedere ai dati sul disco rigido. Dovrai utilizzare la chiave di ripristino di BitLocker per accedere ai tuoi dati. Se hai dimenticato la chiave di ripristino ... beh, fa schifo a te.

Ulteriori informazioni:

risposta data 26.08.2012 - 05:09
fonte

Leggi altre domande sui tag