что это за новая ересь

Не новая и не ересь.

почему я о ней слышу в первый раз

Потому что живёшь в бронепоезде промышленном рефрижераторе.

зачем она может быть нужна для систем на основе Linux?

Если заниматься типичным для линуксоводов воинствующим аскетизмом, то не нужна.

TPM придумали давно. Это устройство, в которое можно отправлять слепки критически важных загрузочных компонентов (куски прошивки, загрузчик, ядро, важные драйвера), после чего состояние будет необратимым (в рамках текущего запуска платформы) и предсказуемым образом меняться.

То есть пока система загружается, она отчитывается в TPM, что был загружен такой-то кусок, и у него на этот момент был такой-то хеш, а TPM меняет состояние своих регистров. При этом у TPM нет команды «установить регистр X в значение Y». Есть только «установить регистр X в значение hash(old_X || Y)».

Зачем всё это нужно? Дело в том, что ещё у TPM есть хранилище, куда можно складывать секреты и политики, управляющие доступом к ним. Например, можно положить внутрь TPM свой приватный SSH-ключ, и настроить TPM так, чтобы он позволял им пользоваться тогда и только тогда, когда биос+ядро+grub+initramfs были «хорошими». Если злоумышленник поломает систему и что-то в ней изменит, то TPM не даст ему получить доступ к секрету.

Ещё TPM может выполнять функцию криптотокена - то есть не просто хранить секреты и выдавать их наружу, но и хранить неизвлекаемые ключи, и в случае выполнения условий полтики позволять выполнять над ними (внутри TPM) криптографические операции. В этом случае даже если злоумышленник сможет сломать систему, не изменяя ни одного критического компонента (например, через 0-day уязвимость в sshd), то он не сможет скопировать секрет, а лишь получит возможность временно (пока у него сохраняется доступ к сломанной машине) использовать его.

Понятно. Но это все звучит как чисто серверная технология. Зачем же винду на это завязали - вообще непонятно.

И что теперь делать, если у меня нигде этого TPM нет как не было. Хорошо что для линукса это не обязательно.

Системные требования Windows 11 напугали обязательной поддержкой TPM 2.0, но решение, похоже, есть.

А как понимать вот это, цитата по ссылке постом выше?

Из-за этого большинство техники, которая продаётся в России, модулей TPM лишена, чтобы поставщикам не приходилось всё сертифицировать.

Его реально нигде нет пока?

Что-то не верю, чтобы в России не продавались ни матплаты с рузенами, ни днищеноутбуки, в которых давно есть TPM.

Вот например древнее днище, в котором присутствует TPM. 2014 года выпуска.

А как понимать вот это, цитата по ссылке постом выше?

Из-за этого большинство техники, которая продаётся в России, модулей TPM лишена, чтобы поставщикам не приходилось всё сертифицировать.

Скорее всего, как враньё.

Его реально нигде нет пока?

В каждом ноутбуке.

Модули TPM нельзя подключить на дешёвых платах ASRock - отсутствует штырьковый коннектор на плате. На материнках ASUS и Gigabyte аналогичной низкой ценовой категории такой коннектор есть. По мануалу к материнке надо удостоверится в наличие микросхемы (по настройкам UEFI BIOS) и(или) возможности подключения дискретного модуля TPM на самой плате.

Но это все звучит как чисто серверная технология.

Это ноутбучная технология. Можно прозрачно для пользователя (без пароля) делать полнодисковое шифрование.

Зачем же винду на это завязали - вообще непонятно.

Чтобы включить всем BitLocker по дефолту, скорее всего.

В каждом ноутбуке.

Начиная с какого года? Почему я его никогда не видел?

Intel умеет софтверно (внутри Intel ME, а значит изолированно от ОС) эмулировать TPM на большинстве платформ, это называется Intel PTT. А ещё TPM-модуль можно купить и вставить в материнскую плату, подключив к шине LPC.

Винду на это завязали чтобы лучше защититься от буткитов и сделать BitLocker более удобным и безопасным для использования. Всё то же самое можно проделать и с GNU/Linux, просто готовых инструментов сильно меньше, придётся в очередной раз собирать конструктор.

А почему звучит чисто как серверная технология? Пользователю на десктопе тоже полезно хранить секреты там, откуда их не достанет вредоносный код.

Чтобы включить всем BitLocker по дефолту, скорее всего.

Столько лет брали premium за BitLocker, чтоб теперь сделать его дефолтным?

Всем, кто заплатил, видимо.

Почему я его никогда не видел?

Возможно, потому что не искал?

Тогда не входил бы в требования Home версии. Для использования BitLockerа уже сейчас предупреждают, что нужен TPM.

У меня на бюджетной материнской плате ASRock H110M-DGS как раз подключен TPM-модуль (производства ASRock), так что не на всех дешёвых платах ASRock он отсутствует.

А ещё TPM-модуль можно купить и вставить в материнскую плату, подключив к шине LPC.

Ммм… а на ноутах?

Винду на это завязали чтобы лучше защититься от буткитов

Никогда не видел буткитов, только ими пугают второй десяток лет.

Пользователю на десктопе тоже полезно хранить секреты там, откуда их не достанет вредоносный код.

Может быть в винде, как всегда, и есть катастрофические проблемы, но в нормальных ос вредоносного кода за пределами песочниц и нету, зачем такие драконовские меры лично мне непонятно.

Intel умеет софтверно (внутри Intel ME, а значит изолированно от ОС) эмулировать TPM

То же самое умеет AMD (fTPM).

Возможно, потому что не искал?

Ну я в BIOS заходил много раз, вроде там такого нету. Хотя надо проверить.

Проверил - нету.

Пользователю на десктопе тоже полезно хранить секреты там, откуда их не достанет вредоносный код.

К тому же в эпоху облаков это странно звучит.

в эпоху облаков

это звучит как необходимость.

зачем такие драконовские меры лично мне непонятно.

Например сделать невозможным извлечение из проприетарных ОС бинарников драйверов для их последующего реверсного инженеринга и написания свободных аналогов.

В более дальней перспективе лишения конечного пользователя возможности контролировать хранение И ОБРАБОТКУ информации на его ПК.
(как минимум нельзя будет удалять те или иные бинарники с целью предотвращения запуска служб и прорграм вызывающих заторможенную работу ПК или даже полноценные сбои в его работе.

В UEFI BIOS в меню Advanced\Trusted Computing что стоит?

сделать невозможным извлечение из проприетарных ОС бинарников драйверов для их последующего реверсного инженеринга и написания свободных аналогов

Это всё равно нарушение лицензии и почти никто в СПО-сообществе не хочет связываться с такой деятельностью.

Ну то есть для войны с пользователем - это понятно. Зачем это нормальным людям?

Дело в том, что тут две конфликтующие пропаганды. Хранить в облаках пароли и при этом - аппаратно защищать какие-то ключи. Кто-то врет.

Цифровой контент, купленный по подписке (в аренду), должен отработать определённое время и самоудалиться, когда срок аренды истёк. Это нормальная прозрачная позиция использования ПО и машинного времени. TPM позволяет это проконтролировать.

Это всё равно нарушение лицензии и почти никто в СПО-сообществе не хочет связываться с такой деятельностью.

А nouveau как разрабатывается?
А драйверы к принтерам и сканерам производитель поставляет в открытом виде?
А драйвера к WiFi карточкам как пишут?

Боюсь что без реверсного инженеринга альтернативную ОС не загрузить вообще.

Пароли в открытом виде давно уже не передаются. Они шифруются или хэшируются однонаправленным хэш-алгоритмом.

Это программно уже решено везде элементарно. Зачем такие сложности?

тут … конфликтующие

Хранить в облаках пароли

Нет тут конлфикта. Ты хранишь на удалённом устройстве критичную информацию, но чтобы получить её ты должен каким-то образом авторизоваться из доверенной среды.

Полная версия поста

зачем такие драконовские меры лично мне непонятно.

Например сделать невозможным извлечение из проприетарных ОС бинарников драйверов для их последующего реверсного инженеринга и написания свободных аналогов.

В более дальней перспективе лишения конечного пользователя возможности контролировать хранение И ОБРАБОТКУ информации на его ПК.
Как минимум нельзя будет удалять те или иные бинарники с целью предотвращения запуска служб и программ вызывающих заторможенную работу ПК или даже полноценные сбои в его работе.
(эти сбои и тормоза необходимы для искусственной сегментации рынка и скрытого принуждения к пользователя к покупке новой версии продукта, ну и предотвращение использования компьютера в платформах альтернативных проприетарным или как минимум их дискриминация путём искусственного ограничения доступа к оборудованию при загрузке ОС отличных от выпускаемых фирмами вступившими в картельный сговор).

Ну то есть для войны с пользователем - это понятно. Зачем это нормальным людям?

Нормальный человек это и есть пользователь с которым ведут войну.

А, до меня начало доходить. Вообще в идеале надо полностью избавиться от паролей, и если эта штука позволяет, я двумя руками за.

Ну, когда-то слышал, что в США (и остальных странах, которые признают ихние копирайты) есть исключение как раз для ПО, которе необходимое для использования железа, т.е. драйверов.

Но все указанные тобой ситуации различаются:

В разработке нуво запускается проприетарный драйвер и мониторятся записи в память видеокарты.

Драйвера к принтерам - и вовсе не драйвера.

К адаптерам Wi-Fi - вынужден признать, что не знаю.

до меня начало доходить

Вот, во 2-м комментарии всё же красиво описано Что за TPM дурацкий? (комментарий)

Вообще в идеале надо полностью избавиться от паролей, и если эта штука позволяет, я двумя руками за.

Это если эта "доверенная среда" будет доверенной для тебя, а не для дядей контролирующих выпуск компьютера.

Да, но я сразу не понял как это применить на десктопе.

чистый реверс инжиниринг кошерен в же в юс?

Ну естественно. Поэтому пока вопрос ко всем - есть ли такие usb приблуды?

есть исключение как раз для ПО, которе необходимое для использования железа, т.е. драйверов.

И как ты будешь эти драйвера добывать с зашифрованного в TPM диска?

Драйверов - да. Остального ПО - нет, и были прецеденты.

Сами добудутся, их же надо загрузить в ОЗУ, чтобы запустить.

Сами добудутся, их же надо загрузить в ОЗУ, чтобы запустить.

Загруженная ОС не разрешит тебе их читать и копировать.

Ну да.

Ну вот и получится что альтернативные ОС будут сосать лапу без драйверов ко всем актуальным устройствам.

Да к стати и реверсинженеринг проприетарных форматов файлов тоже будет затруднён.

Ну вот и получится что альтернативные ОС будут сосать лапу без драйверов ко всем актуальным устройствам.

А сейчас не так?

Хоть что-то создают реверсным инженерингом.

Не уверен, что риверс-инжиниринг именно драйверов это самый важный метод создания драйверов под Linux и BSD.