Что за TPM дурацкий?

А сколько производителей дают открытые спецификации на свои устройства?

Мало. Да и не нужно это.

Дело в том, что в основном риверс-инжинирят сами железки - реестры чипов итд. (даташиты всё таки есть).

В каждом ноутбуке. Начиная с какого года?

С 2017 года где-то. И не в каждом

Олсо

https://www.howtogeek.com/287737/how-to-check-if-your-computer-has-a-trusted-platform-module-tpm-chip/

Есть возможность его для некоторых материнских плат прикупить и засунуть.

Ммм… а на ноутах?

На ноутах TPM производители распаивают чип на плату. Если его нет, и BIOS позволяет, то можно включить PTT/fTPM. У меня на ThinkPad X230 дискретный TPM-чип есть (но у платы есть несколько версий, не на всех он есть).

в нормальных ос вредоносного кода за пределами песочниц и нету

Злоумышленник временно взял ноут, скопировал содержимое зашифрованного HDD и заменил initramfs на свою альтернативную версию, которая запоминает ключи и в момент подключения к интернету сливает их.

В случае использования TPM можно проверить, что все критические компоненты (в т.ч. initramfs) целые, и только тогда расшифровывать диск с использованием двух факторов - парольной фразы из головы пользователя и ключа из TPM. Дополнительно, система может подтвердить пользователю свою подлинность, сгенерировав TOTP, который можно сравнить с результатом генератора, например, на телефоне - если цифры совпали, значит всё безопасно, и можно вводить парольную фразу.

зачем такие драконовские меры лично мне непонятно

Кому-то и шифрование не нужно, а кому-то и пароль на рута. Но никто не заставляет всё это использовать, свободную систему можно сконфигурировать так, как угодно её пользователю.

Они дают готовые драйверы.

Как TPM может

сделать невозможным извлечение из проприетарных ОС бинарников драйверов для их последующего реверсного инженеринга и написания свободных аналогов

?

Всё, что он может - это измерять систему (при её содействии) и (не) выдавать секреты. TPM не может влиять на потоки исполнения кода, а значит не может участвовать в процессах обработки информации.

Пользователь всегда может выполнить команды clear и take ownership, полностью сбросив TPM к заводскому состоянию, удалив в нём все секреты и политики, которые могли быть установлены проприетарной ОС.

И что помешает делать реверс проприетарных ОС на оборудовании, где работает свободное ПО?

Вызывать сбой в работе системы микросхема TPM может примерно так же, как и контроллер клавиатуры или какая-нибудь другая косячная микросхема. В спецификации подобных механизмов не предусмотрено, и такое поведение является признаком некачественного товара.

С 2017 года где-то. И не в каждом

Тогда понятно почему я не знал. Слишком новое, в моем бронепоезде еще не в курсах.

К матплате тоже вряд ли подключу, у меня все машины старые.

А как эти драйвера на зашифрованный диск изначально попали? Если дистрибутив тоже зашифрован, то откуда в TPM взялся секрет для его расшифровки?

Злоумышленник временно взял ноут, скопировал содержимое зашифрованного HDD и заменил initramfs на свою альтернативную версию

Ну я же не джеймс бонд. В моем представлении это должно быть сильно опционально.

Это нужно, но весьма малому проценту людей.

я все же не думаю, что этот TPM будет прям обязательным, так как винду и в виртуалках нужно запускать

Гуглеж показывает что в виртуалки tpm пробрасывается если он есть. Уже сейчас.

Это не так просто сделать, как кажется. Хостовая система уже изменила состояние TPM с момента включения платформы, поэтому на момент запуска виртуалка получит не чистые регистры, а уже прокрученные до состояния «хостовая ОС запущена», что потребует специальной настройки гостя.

Но есть эмуляторы TPM, которые позволяют сбрасывать свои регистры в момент сброса виртуальной машины.

Если дистрибутив тоже зашифрован, то откуда в TPM взялся секрет для его расшифровки?

Будет коллекция ключей уважаемых и доверенных поставщиков ПО и оборудования, либо как в HPCP, производные ключи от отдного большого мастер ключа.

походу ты TPM с intel txt попутал

лет 10 назад раньше TPM был опционален. т.е. модуль был просто нераспаян/неустановлен на плате.

и то что оффициально в рф продавалось, было без него.

Это нужно, но весьма малому проценту людей.

Да-да, точно так же как пароль на телефоне «нужен весьма малому проценту людей», а потом тебя либо менты за политически нежелательный контент сажают на бутылку, либо гопари отжимают телефон и уводят твой банковский счёт.

имеется ноут 2008 году. tpm есть, но наверно старой версии. (так эта модель ноута оффициально в рф не продавался никогда)

Технически да, но TXT (и эквиваленты) — это одно из основных применений TPM на десктопе.

Intel TXT это набор инструкций, который в том числе позволяет платформе договориться с TPM, что некоторые измерения надо начинать не с момента старта всей платформы, а с момента запуска TXT - это позволяет написать такую политику, которая будет работать на разных платформах (например, с разными версиями BIOS). TXT, в свою очередь, переводит платформу в некоторое безопасное состояние, отменяя те runtime-изменения, которые мог успеть внести злоумышленник.

Для TXT нужна поддержка чипсета и код SINIT ACM, который подписан Intel. TXT напрямую влияет на состояние платформы при использовании.

TPM это просто внешнее устройство, с которым можно взаимодействовать по некоторому протоколу: передавать ему измерения, читать/писать секреты, выполнять криптографические операции. На BSP и AP TPM никак не влияет.

Хоть раз у кого-нибудь получалось реализовать такую схему надёжно? Если утечёт хотя бы один ключ, им можно будет всё расшифровать.

так зачем мне рассказывать, мне с этим тхт лет 10 назад довелось поработать плотно.

просто все так вместе написал будто «цепочку доверий» тоже сам модуль TPM делает.

TPM это просто внешнее устройство, с которым можно взаимодействовать по некоторому протоколу: передавать ему измерения, читать/писать секреты, выполнять криптографические операции.

именно

а потом тебя либо менты за политически нежелательный контент сажают на бутылку

А им пароль на телефоне никак не помешает это сделать

гопари отжимают телефон и уводят твой банковский счёт.

Вот это уже более реальный сценарий

Винду на это завязали чтобы лучше защититься от буткитов и сделать BitLocker более удобным и безопасным для использования. Всё то же самое можно проделать и с GNU/Linux, просто готовых инструментов сильно меньше, придётся в очередной раз собирать конструктор.

Безопасность не навязывают. Если безопасность навязывается, значит там у кого-то поганый интерес есть, а безопасность (еще не факт реальная) только прикрытие этого интереса.

Да-да, точно так же как пароль на телефоне «нужен весьма малому проценту людей»

Он вообще не нужен. Есть сканер отпечатка пальца.

Да-да, точно так же как пароль на телефоне «нужен весьма малому проценту людей»

С паролем они тебя и без контента посадят на бутылку, уж поверь белорусу. В этом случае пароль еще никому не помог.

гопари отжимают телефон и уводят твой банковский счёт.

Сканер отпечатка.

Ну понятно. А почему этой штуки для USB нет?

гопари отжимают телефон и уводят твой банковский счёт.

Вот это уже более реальный сценарий

Для этого есть бабочка 🦋 к горлу.

То же самое можно сказать про UEFI, AES-NI, 64-битные системы, AVX, TLS, ACPI, x87. Когда-то их массово не было, и приложения/ОС не требовали их наличия. Когда технология ушла в массы, разработчики стали закладываться на её работоспособность, что упрощало им разработку и/или помогало реализовать какое-то новое свойство. TPM уже давно есть в куче систем, либо в виде программной эмуляции внутри прошивки, либо в виде дискретного компонента.

Гораздо проще продать пользователю Windows 11, сказав, что «теперь BitLocker защищает ваши данные ещё надёжнее». Если массовый пользователь купит компьютер, производитель которого заявил полную совместимость с Windows 11, и на котором Windows 11 вроде бы работает, но заявленное в рекламе свойство BitLocker не выполняется, то для него рассказы про устройство TPM будут выглядеть, как непонятная отмазка.

Или палец отрежут и будут прикладывать. Я не удивлюсь.

Ну то есть, и изначально мой посыл был в том, что при физическом доступе злоумышленника к устройству это все не поможет. Поэтому лично для меня системы защиты от подмены initramfs путем физического доступа выглядят непонятно.

в сканере отпечатка есть функция «спасения»?

Т.е. когда для открытия ты одним пальцем пользуешься, а в случае БП и ножа у горла и пистолета у виска, ты совсем другим пальцем провел и оно заблочилось насовсем. или лучше конечно б разблочило какой-то минимальный обрезанный профиль отдельного пользователя, где ничего из банковский приложений нет.

Так блин, это же надо покупать новый компьютер.

А вероятность того, что TPM поможет относительно простого полнодискового шифрования стремится к нулю.

Т.е. когда для открытия ты одним пальцем пользуешься, а в случае БП и ножа у горла и пистолета у виска, ты совсем другим пальцем провел и оно заблочилось насовсем. или лучше конечно б разблочило какой-то минимальный обрезанный профиль отдельного пользователя, где ничего из банковский приложений нет.

По-моему, такого нет. Да и стремно, я могу и так не тем пальцем попасть.

А вероятность того, что TPM поможет относительно простого полнодискового шифрования стремится к нулю.

Ага

потомушо TPM может потребоваться в любой момент, даже когда еще ничего про работу USB на данном этапе неизвестно.

Так блин, это же надо покупать новый компьютер.

Да, точно так же, как было с UEFI, AES-NI, 64-битными системами, AVX, TLS, ACPI, x87. Если программа что-то требует, и хочется её использовать, приходится покупать новый компьютер. Или отказываться от её использования.

Для защиты системы - да. А для работы приложений, или хранения ключей, можно было бы сделать.

Мне лично систему защищать нафиг не надо. А надо - чтобы хранились ssh ключи, и в идеале не было паролей в вебе а все было через ключи.

с TPM проблема еще в том, что он уникальный. (швободкафилы еще обычно кудахчут насчет 100% однозначной идентификации юзеров и слежке!)

если модулек накрылся - то твои данные тоже. на другой кудахтер ты защифрованный дисочек не подкинешь. т.к. ключ живет в модуле.

а просто с шифрованным диском, ты его расшифруешь. ведь ключ где-то явно хранится.

Погоди, UEFI не требуется. У меня нет никакой UEFI нигде, прекрасно работает и последняя 10 винда, и последние версии линуксов. Даже сейчас.

Даже 32 бита до сих пор можно использовать. Десятка есть, линукс есть.

TPM - это отдельный модуль, в котором хранятся ключи шифрования.

что это за новая ересь

Это (а) не новое, (б) не ересь

почему я о ней слышу в первый раз

Видимо, потому, что не озадачивался вопросом

зачем она может быть нужна для систем на основе Linux?

Затем же, зачем и любой другой

Он вообще не нужен. Есть сканер отпечатка пальца.

Это никак не влияет на мой аргумент.

при физическом доступе злоумышленника к устройству это все не поможет

Именно при физическом доступе злоумышленника к устройству это всё и призвано помогать. Почитай про evil maid attack.

Ну ты сравниваешь - пароль на телефон и защиту от подмены злоумышленником initramfs. Гопари то все юникс-админы. А омоновцы вообще в редхате сертифицированы.

Именно при физическом доступе злоумышленника к устройству это всё и призвано помогать.

Понятно, но ведь это не поможет. Что кстати помешает злоумышленнику перенастроить TPM?

но ведь это не поможет

Ты это просто так говоришь чтобы не признавать неправоту или за твоими словами есть какая-то мысль?

Так а если злоумышленник и TPM переколбасит?

Что кстати помешает злоумышленнику перенастроить TPM?

Ты бы хоть чего-нибудь почитал по теме прежде чем спорить. Например, то, что TPM обязан при перенастройке уничтожить все ключи?

Есть загрузчики, которые требуют UEFI, например systemd-boot. Если нет UEFI, то можно либо отказаться от systemd-boot, либо купить новый компьютер.

Например, то, что TPM обязан при перенастройке уничтожить все ключи?

Ага. Ну то есть элементарно можно будет лишить меня доступа ко всему, в непредсказуемый момент времени. Если я не сноуден, то для меня потеря доступа не менее критична чем утечка данных.

Персонаж выше вообще умора.

Заявляет о том, что правоохранительная система беспредельщики, а вот тут на тебе TPM спасёт.

Так если они беспредельщик, то они просто сфабрикуют всё.