Názor k článku Čekají nás zase bezpečnostní díry v CPU. Intel pod embargem řeší osm nových chyb od Eagle_registered - Moc zkušeností s tím nemáte, že?1) Je to...

  • 6. 5. 2018 23:01

    Eagle_registered

    Moc zkušeností s tím nemáte, že?

    1) Je to TPM (Trusted Platform Module), nikoli TMP.
    2) Ano, existuje TPM owner password - je to z toho důvodu, že čip v sobě uchovává hesla a tato hesla má dát jenom tomu, kdo se prokáže příslušným owner password a to jen při zachování platformy (tj. vyndáte TPM z motherboardu a přesunete ho do jiného motherboardu -> údaje nepůjdou vyndat ani se znalostí TPM owner password).
    3) Běžnému uživateli je TPM owner password k ničemu, protože ho nikdy osobně nepoužívá. Toto heslo by uživateli bylo typicky jen k tomu, aby mohl převést vlastnictví TPM čipu (přendat ho na jinou hardwarovou konfiguraci). To se běžně neděje, protože typicky se v takovém případě čip maže (viz bod 4)).
    4) Z důvodu bod 3) si Windows volí TPM owner password samo. Jediné, co je k tomu potřeba, je aby čip byl ve stavu "cleared" - tj. připraven pro převzetí vlastnictví. Pokud už ho vlastní jiná instalace OS, čip neumožní převzít svoje vlastnictví do doby resetu / zadání hesla (... které uživatel nezná).
    5) Poslední Windows OS, který umožňoval volit TPM owner password, byly tuším Windows Vista. Všechny novější postupují dle bod 4).
    6) Do TPM čipu se typicky ukládá šifrovací klíč pro celodiskové šifrování BitLocker na partitions s operačním systémem. Není to sice vysloveně podmínka, lze také použít např. flashku nebo číselný kód, ale na systémech s TPM je to běžné chování. Disk nelze odemknout jinak než vytažením šifrovacího klíče z TPM, což umí jen OS znající owner password a pracující na hardwarové platformě, na které byl nainstalován (případně je samozřejmě bez TPM možné použít recovery key).
    7) Pokud vymažete TPM (resetujete ho) a nemáte zapnutý BitLocker na OS partition a čip nepoužívá nějaká jiná aplikace (jinou běžnou takovou neznám), k žádné ztrátě dat nedojde.