Usaldusväärse platvormi moodul

Allikas: Vikipeedia
Mine navigeerimisribale Mine otsikasti

Usaldusväärse platvormi moodul (inglise Trusted Platform Module ehk TPM) on füüsiline seade, mis pakub turvafunktsioone, sealhulgas krüptimisvõtmete loomist ja talletamist ning riistvara ja tarkvara muudatuste kontrolli.

Ajalugu[muuda | muuda lähteteksti]

Personaalarvuti disaini algusaastatel polnud peaeesmärgiks turvalisus vaid kasutajasõbralikkus. See oli ajendiks suurte tehnoloogiaettevõtete ühise konsortsiumi Trusted Computing Groupi loomisele. Konsortsiumi eesmärgiks oli luua ühisele standardile vastav riistvaraseade, mille abil saaks personaalarvuteid turvalisemaks muuta. Erilist ohtu kujutas senistele süsteemidele internetipõhiste teenuste kiire levik. [1]

Esimeseks laialdaselt kasutust leidnud versiooniks osutus 2003. aastal väljastatud TPM 1.1b, mis sisaldas baasfunktsioone nagu RSA võtme genereerimine, andmetalletus, autoriseerimine ja süsteemi terviklikkuse atesteerimine. Ründajatel puudus ligipääs võtmetele kuid puudus ka meetod takistada jõurünnet (brute force). Samuti osutusid piiranguks erinevused riistvara tasandil.

2005-2011 arendatud TPM 1.2 sätestas ühtse tarkvara liidese ja viigud TPM komponendil, ehkki spetsifikatsiooni muutis keeruliseks tagasiühilduvus versiooniga 1.1b.

2014 väljastatud TPM 2.0 standard toetab mitmeid kaasaegseid turvalahendusi, sealhulgas sümmeetrilise ja elliptiliste kõverate võtme krüptograafiat ning võimalust kasutada endise SHA1 asemel mistahes räsifunktsiooni. TPM 2.0 versioonil puudub tagasiühilduvus vanemate versioonidega.[2][3]

Ülesehitus[muuda | muuda lähteteksti]

TPM komponendiks on tavaliselt eraldiseisev mikrokontroller personaalarvutis ning sellel on eraldi protsessor ja mälu. Süsteem suhtleb TPM komponendiga sisend-väljund puhvri abil. Puhver ei pea ilmtingimata olema süsteemist isoleeritud, selleks võib kasutada süsteemi mälu.

Alternatiivseks lahenduseks on TPM koodi töötlemine süsteemi enda protsessoris, mis nõuab mälu isoleerimist nii, et sellele oleks protsessoril ligipääs vaid erirežiimis.

TPM-i omadusi kirjeldab Trusted Computing Groupi spetsifikatsioon.[4]

Eesmärk[muuda | muuda lähteteksti]

TPM võimaldab luua ning kasutada võtmeid neid ühtlasi operatsioonisüsteemi eest isoleerides, mis kaitseb neid pahavara eest. TPM takistab ka jõurünnet, peatades rünnaku puhul ajutiselt töö.

Süsteemi alglaadimisel kontrollib TPM riistvara ja tarkvara komponentide andmeterviklikkust. Ketta krüpteerimise tarkvara (Bitlocker, dm-crypt) saavad kasutada TPM-i krüptovõtmete genereerimiseks ja talletamiseks. Kasutades PKCS#11 liidest, saab TPM-i kasutada ka internetis turvalisemaks autentimiseks.[5]

TPM 1.2 vs TPM 2.0[muuda | muuda lähteteksti]

TPM standard jaotab algoritmid kolme kategooriasse: soovituslikud, valikulised ja kohustuslikud. [6]

Kohustuslikud algoritmid
TPM 1.2 TPM 2
Räsifunktsioonid SHA-1 SHA-1

SHA-256

SHA-384

Sümmeetrilised krüptoalgoritmid AES 128 CFB

AES 256 CFB

Asümmeetrilised krüptoalgoritmid RSA 1024

RSA 2048

RSA 2048

ECC P256

ECC BN256

ECC P384

HMAC SHA-1 SHA-1

SHA-256

SHA-384

Välislingid[muuda | muuda lähteteksti]

  1. "Compaq, Hewlett Packard, IBM, Intel, and Microsoft Announce Open Alliance to Build Trust and Security into PCs for e-business". IBM, 11.10.1999. Vaadatud 28.05.2020.
  2. Will Arthur, David Challener (2015). A Practical Guide to TPM 2.0: Using the Trusted Platform Module in the New Age of Security. New York, NY : Apress Open. 
  3. Arthur W., Challener D., Goldman K. (2015). A Practical Guide to TPM 2.0.. Berkeley, CA: Apress. 
  4. [https://www.iso.org/standard/66510.html"ISO/IEC 11889-1:2015 Information technology — Trusted platform module library — Part 1: Architecture"]. august 2015. Vaadatud 11.05.2020.
  5. "TPM Fundamentals". august 2017. Vaadatud 11.05.2020.
  6. "TCG PC Client Platform TPM Profile (PTP) Specification Version 1.04 Revision 37". 2. märts 2020. Vaadatud 15.05.2020.