Vorrei utilizzare un TPM per fornire prove di manomissione alla mia workstation, utilizzando SRTM (Root-of-Trust per la misurazione). Attualmente, ho intenzione di far sì che il sigillo TPM sia un valore unico che conosco, simile a Qubes Implementazione 'Mait anti-malvagio . Il TPM verifica il BIOS, le ROM delle opzioni , la configurazione del sistema e il bootloader. Un bootloader affidabile (come TrustedGRUB2 ) verificherà il kernel e utilizzerà tboot (che utilizza il modulo hardware ACM) per avviare il kernel. A questo punto, il sistema è considerato sicuro (ad esempio il kernel usa IMA per verificare l'utente, o il il disco viene crittografato utilizzando una modalità di crittografia non malleabile.
Questa è la mia comprensione (dove posso confondere i ruoli del CRTM con l'ACM):
-
Il CRTM, nel firmware sane, non può essere modificato man mano che la CPU lo verifica.
-
Il CRTM è responsabile della verifica del BIOS (o almeno della sua fornitura al TPM).
-
Se il BIOS viene modificato, questo sarà evidente poiché il CRTM continuerà a fornirlo al TPM.
-
Questo è simile a BootGuard , eccetto che fornisce manomissioni evidenza , non alteratore resistenza .
Il mio modello di minaccia:
-
Il mio avversario è in grado di modificare qualsiasi archivio scrivibile sul sistema.
-
Non possono modificare l'hardware stesso (ad esempio aggiungendo JTAG o MITM sul bus LPC).
-
Non conoscono il segreto che il TPM ha sigillato e non possono forgiarlo.
-
Non sono in grado di sfruttare il sistema in esecuzione dopo che è stato verificato.
-
Vogliono monitorare il mio input sul sistema dopo aver verificato il segreto sigillato.
Ciò significa che devo garantire che le modifiche al BIOS possano essere rilevate (ACM / CRTM fornirà tale garanzia?) e che verranno rilevate altre modifiche al firmware come le ROM opzionali. La mia comprensione di ACM e CRTM è piuttosto limitata. Capisco le basi di come funziona il TPM (per quanto riguarda i registri PCR e le sue limitazioni), tuttavia.
Gli errori riguardanti il mio OPSEC, le backdoor hardware, gli attacchi dopo l'avvio misurato sono stati completati, o la modifica / sostituzione dei componenti hardware fisici sono fuori ambito.
Questa soluzione è sufficiente per rilevare la modifica del firmware?