TPM芯片:网络安全中一个尚未开发的资源

日期: 2008-11-26 作者:David B. Jacobs翻译:曾少宁 来源:TechTarget中国 英文

很多网络管理员都不曾注意到,在过去几年中,他们所安装的台式机、笔记本和服务器上都包含一个可信平台管理(Trusted Platform Management, TPM)芯片,该芯片是可以用来加强用户登录认证,防止未经授权的软件修改,以及全面加密硬盘和可擦写媒体的数据。 TPM芯片规格是由Trusted Computing Group开发的,该小组是由大部分主要系统和芯片厂商组成,包括AMD、HP、IBM、Intel、Microsoft和Sun。它成立于2003年,目的在于创建开放标准以对抗密码、数据和加密密钥的窃取以及防范恶意软件安装行为。 过去两三年市场上销售的所有笔记本电脑、台式机和服务器……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

很多网络管理员都不曾注意到,在过去几年中,他们所安装的台式机、笔记本和服务器上都包含一个可信平台管理(Trusted Platform Management, TPM)芯片,该芯片是可以用来加强用户登录认证,防止未经授权的软件修改,以及全面加密硬盘和可擦写媒体的数据。

TPM芯片规格是由Trusted Computing Group开发的,该小组是由大部分主要系统和芯片厂商组成,包括AMD、HP、IBM、Intel、Microsoft和Sun。它成立于2003年,目的在于创建开放标准以对抗密码、数据和加密密钥的窃取以及防范恶意软件安装行为。

过去两三年市场上销售的所有笔记本电脑、台式机和服务器上都几乎已经安装了TPM芯片。该芯片预计也将被安装在手机和PDA等设备上。

TPM规格往往是作为单个独立芯片产品来供应的,但是也可以作为另一个芯片的一部分出现,比如以太网接口。它包含了一个带有实现了RSA、SHA-1和HMAC算法的硬件的处理引擎,以及一个随机数字生成器。该芯片还包含了一定数量的内部存储空间。

加密密钥

每个TPM芯片都包含一个RSA密钥对,它被称为签注密钥(Endorsement Key, EK),这是在芯片生产时写入的。每一个TPM芯片所包含的EK都是唯一的。这个密钥对只存在于芯片内部,并且不被外部软件访问。由EK生成的密钥都可以用作TPM芯片的唯一识别,因此也能唯一安装了密钥的系统。

当一个用户或管理员登录系统时,芯片就会产生一个存储根密钥(Storage Root Key, SRK)。这个密钥是由TPM基于EK和用户输入的密码生成的。系统登录用户改变时会有一个新的SRK被创建,从而使新用户无法使用之前用户的SRK加密过的任何数据。

身份认证密钥(AIK)能防止未经授权的固件和软件改动。每次系统启动时,TPM使用AIK和SHA - 1算法来哈希固件和软件的关键部分,然后它们才继续执行。引导加载程序、BIOS和操作系统内核典型情况下都会经过哈希的。然后这些哈希被储存在平台配置寄存器(PCR)的TPM芯片中。
 
当系统试图连接到网络上时,服务器将验证所发送的哈希是否与预期值相匹配。如果其中任何一个哈希部分在启动后被修改过,匹配将会失败,而系统将不会授予进入该网络的权限。

应用TPM的软件产品

网络管理员之所以一直以来都没有注意到TPM功能的最主要原因是缺乏广泛的软件支持。但这个问题已经不复存在了,目前有许多种软件产品支持了TPM,其中包括:

BitLocker驱动加密,它被包含在Microsoft Vista Enterprise and Ultimate和Windows Server 2008中。BitLocker能够对整个Windows卷加密,包括所有系统和用户文件,交换区文件和休眠文件。

全面磁盘加密,可以防止被盗取的系统上的或已拆除但未彻底清空磁盘的数据被盗。TPM芯片在不影响系统操作的情况下执行所有加密和解密操作。BitLocker还使用AIK和PCR来防止未经授权的固件和软件改动。

Softex Incorporated, Ultimaco Safeware AG 和 Wave Systems Corp.都有支持Windows Vista和Windows XP Professional平台的使用TPM芯片的产品,这些产品都提供了多种用户登录认证和全面磁盘加密功能。除了Windows,也有一些Unix和Linux版本也支持该芯片。

围绕TPM的争议

关于芯片的争议在开发早期就已经出现了,这其中包括:

  • 开放软件倡导者所担心的是,芯片将锁定没有得到Trusted Computer Group成员授权的软件,从而Linux相关产品将无法安装。但这些疑虑基本上已经平息了:该规范是公开的,并且芯片并不妨碍授权的系统用户安装任何所需的软件。
  • 在2007年7月Blackhat会议之前,两名安全研究人员公布了一个可能的安全漏洞,并且他们在本次会议开始前取消了会议主题演讲,并对此没有作任何解释。至今他们也没有对此做进一步的声明。
  • 2008年2月,由普林斯顿大学研究人员领导的小组描述了一种绕过微软BitLocker保护的方法。他们的方法利用了这样一个事实,即来自EK和SRK的密钥都存储在DRAM。攻击者登录一个运行中的系统或待机模式下的系统后,就可以取得这些密钥。而Trusted Software Group则反驳说,研究人员是不可能访问EK或SRK的,因为系统关机和休眠模式都会切断DRAM电源和消除危险,而且该系统也不应该置为待机状态。

尽管过去出现了这样一些问题,但是已经使用过TPM芯片的网络管理员已经证明它是一个很有价值的工具。随着对它的功能的不断认识,可以预见它将得到更广泛的应用。

关于作者:David B. Jacobs是The Jacobs Group的成员,在网络产业方面有着20多年的工作经验。他管理了先进的软件开发项目,并为财富500强企业和新兴企业提供咨询服务。

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。