Wie ist ein TPM-Modul an den Chipsatz angebunden?

Hallo!

Zur effektiven Nutzung von Bitlocker (Windows Vista, Windows Serer

2008) ist ein TPM-Modul erforderlich. Da gibt es Boards die haben so ein Teil (meistens von Infinion) fest auf dem Board verl=F6tet (im Regelfall alle mit Q965 bzw. Q35-Chipsatz). Von ASUS gibt es aber auch Boards, auf denen man so ein Modul nachr=FCsten kann (vermutlich aufgrund von Kostengr=FCnden oder aufgrund von Exportbeschr=E4nkungen). Ein solches Modul habe ich gerade vor mir liegen. Da ist ein Infineon SLB9635TT 1.2 drauf, ein Quartz, drei Widerst=E4nde und sechs Kondensatoren. =DCber eine 20polige (19 belegt) Stiftleiste kann ich die 2 x 2 cm gro=DFe Platine auf ein passendes ASUS-Board stecken (da gibt es einige AM2- und S775-Boards).

Bl=F6d finde ich nun, dass dieses Modul einen speziellen Sockel auf einem Bord ben=F6tigt, man dieses Modul also nicht =FCberall nachr=FCsten kann. Dann gibt es auch noch verschiedene Sockelgr=F6=DFen (Gigabyte hat andere Sockelgr=F6=DFe als ASUS) f=FCr dieses Modul. Da frage ich mich, ob man diesen Chip mit der Peripherie nicht auch auf einer PCI-Karte montieren k=F6nnte und das das Board den TPM-Chip dann =FCber den PCI-Bus ansprechen kann, ggf. mit Hilfe eines passenden PCI-Interface.

Ich suche nun Informationen wie so ein TPM-Modul an den Chipsatz angebunden ist und welche M=F6glichkeiten es da gibt. Wer wei=DF was?

Gru=DF Torsten

Reply to
Torsten Junker
Loading thread data ...

Ein Grund mehr das nicht zu benutzen... Was machst du wenn dein Board den Geist aufgibt? Dich von deinen Daten verabschieden? Hast du den Schluessel woanders, z.B. auf einem USB-Stick, kannst du davon 1) eine Kopie machen und im Tresor lagern und 2) im Schadensfalle einfach das Board ersetzen.

IMHO ist das TPM eine Loesung auf der Suche nach einem Problem. Jedenfalls was den Nutzer des Systems angeht.

Geschwindigkeit braucht man da nicht so besonders. Ich wuerde hier auf den LPC-Bus tippen an dem auch der Super-I/O haengt.

Gerrit

Reply to
Gerrit Heitsch

Mir ein neues kaufen und dann den Schl=FCssel eingeben, den ich mir beim Einrichten des TPM ausgedruckt habe und das neue TPM-Modul aktivieren.

Exakt so sollte es aussehen.

Mit Computern l=F6sen wir Probleme die wir ohne Computer nicht h=E4tten.

Danke f=FCr die Info. Wenn man nach LPC und TPM googelt findet man dann auch den Verweis darauf, dass TPM und SuperIO am LPC h=E4ngen. Bl=F6de Sache das (f=FCr meine Idee).

Gru=DF Torsten

Reply to
Torsten Junker

Torsten Junker schrieb:

Was spricht gegen die Nutzung von Bitlocker mittels USB Key?

Jan

Reply to
Jan Lucas

Dann braucht man aber auch nicht wirklich ein TPM, oder? :)

Naja, sobald man weiss wo der LPC langlaeuft koennte man theoretisch schon loeten. Bleibt die Frage, ob das TPM vom BIOS unterstuetzt werden muss oder ob Windows die Benutzung auch so hinbekommt.

Irgendwie erscheint mir doch die Idee gleich den USB-Stick zu benutzen einfacher, da brauchts nur einen freien USB-Port.

Gerrit

Reply to
Gerrit Heitsch

Den "Reserve-Schl=FCssel" kann ich an einem anderen Ort aufbewahren.

Zu viel Aufwand. Da kaufe ich lieber neue Mainboards.

Wenn ich das richtig verstanden habe muss bei einigen Konzepten (jetzt weniger wegen Bitlocker) TPM schon ganz am Anfang aktiv sein.

Da gibt es schon Unterschiede. Im TPM steckt mehr als nur ein paar Zeichen langer Schl=FCssel. Ein TPM-Modul kann weder durch Hardware noch durch Software manipuliert oder kopiert werden, =E4hnlich wie eine Smartcard. Bei einem USB-Stick ist das etwas anders, die darauf enthaltenen Daten kann Hinz & Kunz kopieren oder manipulieren.

Gru=DF Torsten

Reply to
Torsten Junker

... wird zumindest behauptet... Zumindest bei Smart-cards war es bisher immer nur eine Frage der Hardware bis sie offen waren. Es gibt da ziemlich gemeine Angriffe. Ob du die durchfuehren kannst ist natuerlich eine andere Sache.

Kann man bei den aktuellen TPMs die mitgelieferten Zertifikate und Keys durch eigene ersetzen bzw. auslesen? Wenn einem wirklich an Sicherheit liegt _muss_ man _alle_ im TPM gespeicherten Keys durch eigene ersetzen. Denn wer garantiert einem, dass die Keys nicht nur im TPM und nicht vielleicht auch in einer Datenbank des Herstellers der Hardware zu finden sind?

Ich sehe gerade das aktuelle TPMs noch SHA-1 benutzen. Etwas kurz gedacht...

Im Notfall ich dann aber auch. Da ueberlege ich mir doch lieber wie ich den USB-Stick sichere als im Problemfalle vor einer Hardware zu sitzen die zwar meinen Schluessel enthaelt aber nicht rausruecken will...

Gerrit

Reply to
Gerrit Heitsch

Immer?

Das versuche ich auch herauszufinden, bin aber noch nicht so tief in die Funktion von TPM vorgedrungen.

Ich behaupte mal ja, weil man das Modul l=F6schen kann. Ob es dann noch so was wie einen Masterkey gibt? Wenn mir jemand mal erl=E4rt wo ich das Datasheet f=FCr den Infineon Chip 9635 finde ...

SHA-1 ist noch nicht ganz geknackt, nur "schwer angeknackt". Aber ich w=FCrde da auch lieber RipeMD160 oder Tiger sehen wollen.

Zumindest in Bezug auf Bitlocker erh=E4lt man beim Einrichten einen

32Byte-Schl=FCssel, den man halt irgendwie sichern sollte.

Gru=DF Torsten

Reply to
Torsten Junker

"Torsten Junker" schrieb im Newsbeitrag news: snipped-for-privacy@y27g2000pre.googlegroups.com...

Viel witziger wird die Geschichte bei der aktuellen englischen Gesetzgebung: Du hast mit Bitlocker ueber TPM was verschluesselt, und dein TPM geht nicht mehr. Nun kommst du in die Aufmerksamkeit der britischen Justiz, und die fordert von dir die Herausgabe der Schluessel mit denen die Festplatte verschuesselt ist. Da wanderst du 5 Jahre in den Bau, weil sie dir dein 'ich weiss nicht' nicht glauben. Und solche Gesetze kommen sicherlich auch bei uns, Schaeuble wird sich nicht lumpen lassen fuer das 4te totalitaere Reich auf deutschen Boden solide Grundlagen zu schaffen.

--
Manfred Winterhoff, reply-to invalid, use mawin at gmx dot net
homepage: http://www.geocities.com/mwinterhoff/
 Click to see the full signature
Reply to
MaWin

Ist eine Frage des Werkzeuges und der Zeit... Einen Chip von seiner Plastikhuelle zu befreien ohne den Chip selbst dabei zu beschaedigen ist kein Problem mehr. AFAIK kann man schon laenger EEPROM-Zellen ohne Kooperation der restlichen Logik auslesen.

Das Problem ist, dass das, was im Datenblatt steht und das was der Chip dann wirklich macht nicht unbedingt dassselbe sein muss. Probleme dieser Art, ob nun absichtlich eingebaut oder weil der Chip einen Fehler hat, kennt, besonders hier, wohl jeder.

Reicht vollkommen aus, schliesslich wuerde man diese Hardware noch ein paar Jahre verwenden wollen, oder? Vefahren die schon jetzt als zweifelhaft bekannt sind haben da nichts mehr zu suchen.

Eben auf einem USB-Stick oder aehnlichem. Vor allem kann man den nach dem Booten entfernen und sicher einlagern. Damit sind dann Schluessel und Daten bei einem Diebstahl des Systems garantiert getrennt und man muss nicht mehr hoffen, dass das TPM wirklich dichthaelt...

Gerrit

Reply to
Gerrit Heitsch

"Gerrit Heitsch" schrieb im Newsbeitrag news:fevgtm$m5j$ snipped-for-privacy@news.bawue.net...

Wenn das so ist, ist der Schluessel schon gebrachen, denn er liegt nun im PC gespeichert vor.

--
Manfred Winterhoff, reply-to invalid, use mawin at gmx dot net
homepage: http://www.geocities.com/mwinterhoff/
 Click to see the full signature
Reply to
MaWin

Nur im RAM desselben und das ist fluechtig. Abschalten und weg ist er. Der entsprechende Speicherbereich muss natuerlich nicht-swapbar sein. Das ist sicherer als den Key auf dem USB-Stick die ganze Zeit im System zu belassen, dort waere er einfacher zu finden und zu kopieren.

Egal wie du es drehst, irgendwann steht der Key im Speicher, es sei denn du hast eine hardware-basierte Crypto-Engine (das TPM ist dafuer zu langsam) in die man den Key beim Boot laedt und die ihn nicht mehr rausrueckt. In dem Falle musst du dem Hersteller des Chips trauen das das wirklich nicht geht.

Gerrit

Reply to
Gerrit Heitsch

"Gerrit Heitsch" schrieb im Newsbeitrag news:fevjev$nbf$ snipped-for-privacy@news.bawue.net...

Wie wuerde man einen Schluessel aus einem PC auslesen ? Bei abgeschaltetem PC ? Kaum. Natuerlich per programm bei ingeschaltetem, arbeitdenden.

Noch praktischer.

Nur wenn er dort im Klartext auslesbar ist. So bloed ist hoffentlich kein System. Es wird sicher nur eine Challenge/Response mit dem nicht-auslesbar im Key versteckten Schluessel gemacht.

Nein, natuerlich nicht, so bloed ist hoffentlich niemand.

Hoffentlich nicht.

Ja, die TPM ist zu langam fuer nuetzliche Anwendungen, es hat aber auch nie jemand behauptet, dass der Schrott was taugen wuerde, ausser fuer GEGEN den Anwender des PC gerichtetes.

--
Manfred Winterhoff, reply-to invalid, use mawin at gmx dot net
homepage: http://www.geocities.com/mwinterhoff/
 Click to see the full signature
Reply to
MaWin

Nein, unpraktischer. Sonst reicht es sich das Swapfile vom ausgeschalteten PC zu kopieren (Platte kurz ausbauen).

Natuerlich koennte man das Swapfile auch verschluesseln, aber mal im Ernst, wie langsam soll das ganze jetzt werden?

Macht es nur etwas komplizierter denn jetzt muss der Key fuer den Key im Speicher stehen bzw. die Anleitung welche Response auf welche Challenge zu liefern ist.

Wenn du ein Rootkit auf der Buechse hast, hast du sowieso gewonnen. Ansonsten sollten deine normalen User (als Root bzw. Admin kennst du schliesslich den Schluessel) an die fraglichen Speicherbereiche gar nicht herankommen koennen da ihnen die Privilegien fehlen.

Aha... und wie genau willst du dann deine Daten bei Zugriffen aufs Filesystem ver- bzw. entschluesseln? Irgendwann musst du den Key aus dem Keystore holen. So ein 256Bit-AES-Key ist aber zu gross fuer die CPU-Register. Also, wo steht er waehrend der Benutzung?

Abgesehen davon ist der primaere Sinn eines verschluesselten Filesystems den Zugriff auf die Daten im Falle eines Diebstahls der Festplatten oder des ganzen Rechners zu verhindern. Diesen Zweck erfuellt es auch wenn der Key im Betrieb im RAM steht (so dieser Bereich nicht swap-bar ist und nur von Root gelesen werden kann).

Gerrit

Reply to
Gerrit Heitsch

Macht man in der Praxis trotzdem meistens so. Aus zwei Gründen:

  1. Es geht mitnichten nur um den Key. Applikationen lesen/schreiben Daten vom gesicherten Filesystem und halten sie i.d.R. im Klartext im RAM. Jede ausgelagerte Seite kann Geheimnisse enthalten.
  2. In der Praxis sollte Swap nur in Ausnahmefällen genutzt werden. Ein System das aus Speichermangel swappen muß, wird ohnehin uner- träglich langsam. Da macht das bisschen Overhead auch nix mehr.

Natürlich im RAM. Dieses Problem trifft regelmäßig die Hersteller von Software-DVD (-HD/BD) Playern. Oder was glaubt ihr, woher die geleakten Player-Keys stammen?

Vermeiden kann man das nur, wenn man auf *allen* Kanälen Challenge/ Response macht. Also z.B. die Festplatte beim Hochlaufen mit dem Controller. Ansonsten terminiert C/R irgendwo im System, wo man dann den Media-Key abgreifen kann.

XL

Reply to
Axel Schwenke

Ok, dann muss man aber so eine CPU dafuer abstellen koennen. Bei aktuellen Servern eher nicht so das Problem, bei einer Workstation schon eher.

Das erzaehl mal SAP... Die wollen RAM, noch mehr RAM und, egal wieviel RAM, auch noch eine Menge Swap.

Eben deshalb dient ein verschluesseltes FS _nicht_ dazu die Daten vor dem Besitzer des Systems zu schuetzen. Das geht damit nicht, irgendwie kommt der an den Schluessel ran. Das ist auch der Grund warum DRM immer wieder Loecher hat... Die DRM-Verwender muessen jeden Tag aufs neue Glueck haben, dem Hacker reicht einmal...

Eben... und auch noch das letzte Loch zu finden ist gar nicht so einfach. Bei DRM reicht _eine_ Person die die Hardware und Zugriff auf die richtigen Werkzeuge hat.

Bei einem verschluesselten FS als Diebstahlschutz reicht der Schluessel auf USB-Stick. Nach dem Booten legt man den in den Tresor und hat offsite den Key nochmal auf einem anderen Medium (Ausdruck auf Papier?) eingeschlossen.

Gerrit

Reply to
Gerrit Heitsch

Gerrit Heitsch :

Der (immer gleiche Master-)Key muss nicht im Speicher stehen. Man kann Daten in das USB-Device reinschieben und dieses liefert die Daten dann entschlüsselt. Klar ist das langsam. Aber man muss das ja nur für einen "secondary" key machen, der "jedesmal" anders ist und mit dem die eigentliche Entschlüsselung dann schnell geht. ("jedesmal" z.B. jede Sekunde ein neuer Key)

M.

--
Bitte auf mwnews2@pentax.boerde.de antworten.
Reply to
Matthias Weingart

Erstens ist das zu langsam und zweitens ist USB dafuer zu instabil. Du hattest es noch nie, dass sich ein USB-Device mal einfach ohne Warnung abgemeldet hat und erst nach Aus- und Einstecken wieder funktionierte?

Die Daten im Filesystem sind mit dem immer gleichen Key (pro Instanz natuerlich) verschluesselt. Diesen Key kann man nicht wechseln ohne das gesamte FS einmal komplett zu ent- und wieder zu verschluesseln. Wie soll deine Idee also funktionieren?

Bei einer SSH-Verbindung kannst du den Schluessel mal schnell on the fly wechseln, aber nicht bei Daten auf einem Datentraeger.

Gerrit

Reply to
Gerrit Heitsch

Und man kann den key so verstecken, daß er gar nicht mal so schnell als solcher auffällt!

Reply to
Ralph A. Schmid, dk5ras

Das haben vershiedene Mediaplayerhersteller auch schon erfolgos mit den Restriktionskeys versucht.

--
MFG Gernot
Reply to
Gernot Fink

ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.