Bir dizüstü bilgisayarda bir trm modülünün kurulu olup olmadığı nasıl öğrenilir. Güvenilir Platform Modülü teknolojisi. TPM Nasıl Çalışır?

Güvenilir Platform Modülü

hesaplamada, Güvenilir Platform Modülü(TPM) - bilgileri korumak için kriptografik anahtarları depolayan bir şifreleme işlemcisini tanımlayan bir belirtimin adı ve ayrıca bu belirtimin uygulamaları için genel bir ad, örneğin bir "TPM yongası" veya "TPM güvenlik aygıtı" "(Dell). Eskiden "Fritz çipi" olarak anılırdı (eski Senatör Ernest "Fritz" Hollings, dijital telif hakkı korumasına, DRM'ye yönelik ateşli desteğiyle tanınır). TPM spesifikasyonu, Trusted Computing Group tarafından geliştirilmiştir. TPM spesifikasyonunun mevcut sürümü, 1.2 revizyon 116, basım 3 Mart 2011'dir.

Kısa inceleme

Bir kripto işlemcisi olan Güvenilir Platform Modülü (TPM), anahtarların kullanımını (hem imzalama hem de şifreleme/şifre çözme için) kısıtlayabilen şifreleme anahtarlarını, rastgele sayı üreteci ile aynı derecede tekrarlanamazlık ile güvenli bir şekilde oluşturmak için araçlar sağlar. . Bu modül ayrıca şu özellikleri içerir: uzaktan doğrulama, bağlama ve güvenilir güvenli depolama. Uzaktan doğrulama, donanım, sistem önyüklemesi ve ana bilgisayar (bilgisayar işletim sistemi) yapılandırması arasında bir bağlantı oluşturarak üçüncü bir tarafın (dijital müzik mağazası gibi) mağazadan indirilen yazılımın veya müziğin kullanıcı tarafından değiştirilmediğini veya kopyalanmadığını doğrulamasını sağlar. (DRM'ye bakın). ). Kripto işlemci, verileri yalnızca şifrelendiği bilgisayarda, aynı yazılımı çalıştırarak deşifre edilebilecek şekilde şifreler. Bağlama, TPM onay anahtarını, üretim işlemi sırasında çipe yazılan benzersiz bir RSA anahtarını veya güvenilen başka bir anahtarı kullanarak verileri şifreler.

TPM modülü, donanımın kimliğini doğrulamak için kullanılabilir. Her TPM yongası belirli bir cihaza özel olduğundan, bu, platformun benzersiz bir şekilde kimliğinin doğrulanmasını mümkün kılar. Örneğin, erişilen sistemin beklenen sistem olup olmadığını kontrol etmek.

TPM mimarisi

Çip mimarisinde aşağıdaki güvenlik algoritmaları uygulanmaktadır:

• güvenli bellek yönetimi,
• veri yolu ve veri şifreleme,
• aktif koruma

Aktif koruma, çipin elektrik testini algılamasına ve gerekirse çipi engellemesine olanak tanır. Ek olarak, TPM'lerin üretiminde, IC katmanlarının topolojisini dolaştırma gibi standart olmayan teknolojik adımlar kullanılır. Bu önlemler, çipin hacklenmesini büyük ölçüde karmaşıklaştırıyor, hackleme maliyetini artırıyor ve bu da potansiyel ihlalcilerin azalmasına neden oluyor.

Giriş/Çıkış (İngilizce G/Ç)

Bu bileşen, veri yolundaki bilgi akışını kontrol eder. Mesajları uygun bileşenlere yönlendirir. G/Ç bileşeni, TPM işlevleriyle ilişkili erişim ilkesini uygular.

kriptografik işlemci

TPM içinde kriptografik işlemler gerçekleştirir. Bu işlemler şunları içerir:

• Asimetrik anahtar oluşturma (RSA);
• Asimetrik Şifreleme/Şifre Çözme(RSA);
• Karma (SHA-1);
• Rastgele sayı üretimi.

TPM, rasgele diziler oluşturmak, asimetrik anahtarlar oluşturmak, dijital olarak imzalamak ve saklanan verileri gizli tutmak için bu yetenekleri kullanır. TPM ayrıca dahili olarak simetrik şifrelemeyi de destekler. Depolanan tüm anahtarlar, 2048 bitlik bir RSA anahtarı kadar güçlü olmalıdır.

Uçucu Olmayan Depolama

Onay anahtarını, kök anahtarını (Depolama Kök Anahtarı, SRK), yetkilendirme verilerini, çeşitli bayrakları saklamak için kullanılır.

Onay Anahtarı (EK)

RSA Anahtar Üreticisi

RSA anahtar çiftleri oluşturur. TCG, anahtar oluşturma süresi için minimum gereksinimler getirmez.

RSA cihazı (RSA Motoru)

Dijital imzalar ve şifreleme için kullanılır. RSA algoritmasının uygulanmasında herhangi bir kısıtlama yoktur. Üreticiler Çin Kalan Teoremi veya başka bir yöntemi kullanabilir. Önerilen minimum anahtar uzunluğu 2048 bittir. Açık üssün değeri olmalıdır.

güvenilir platform

TCG sistemlerinde güvenin kökleri, güvenilmesi gereken bileşenlerdir. Eksiksiz güven kökleri kümesi, o platforma olan güveni etkileyen bir platformu tanımlamak için gereken minimum işlevselliğe sahiptir. Güvenin üç kökü vardır: güvenin ölçüm kökü (RTM), güvenin depolama kökü (RTS) ve güvenin mesaj kökü (RTR). RTM, platform bütünlüğünün güvenilir ölçümlerini yapan bir hesaplama motorudur. RTS, bütünlük değerlerinin karmalarını depolayabilen bir hesaplama motorudur. RTR, RTS'de depolanan bilgileri güvenilir bir şekilde raporlayan bir mekanizmadır. Ölçüm verileri, ölçülen bileşenlerin özelliklerini ve özelliklerini tanımlar. Bu ölçümlerin karmaları, bilgisayarın durumunun bir "anlık görüntüsüdür". Depolamaları, RTS ve RTR işlevselliği tarafından gerçekleştirilir. Ölçülen değerlerin hash'ini platformun güvenilir durumunun hash'i ile karşılaştırarak sistemin bütünlüğünden bahsedilebilir.

Olası uygulamalar

kimlik doğrulama

TPM, yeni nesil bir kimlik doğrulama belirteci (Güvenlik belirteci) olarak düşünülebilir. Kripto işlemcisi hem kullanıcı hem de bilgisayar kimlik doğrulamasını destekleyerek yalnızca yetkili kullanıcıların ve bilgisayarların ağa erişmesini sağlar. Bu, örneğin, e-postayı şifrelemeye dayalı olarak güvence altına alırken veya TPM ile ilişkili dijital sertifikalarla imzalarken kullanılabilir. Ayrıca, parolaların ortadan kaldırılması ve TPM'nin kullanılması, kablolu, kablosuz ve VPN erişimi için daha güçlü kimlik doğrulama modellerine olanak tanır.

Veri hırsızlığı koruması

Bu, "güvenli bir kapsayıcının" temel amacıdır. Trusted Computing Group spesifikasyonları üzerine kurulu kendi kendini şifreleyen cihazlar, yerleşik şifreleme ve veri erişim kontrolü sağlar. Bu cihazlar, bilgisayarınız kaybolur veya çalınırsa verilerinizi koruyarak tam disk şifreleme sağlar.

Avantajlar:

• Performans iyileştirme

Donanım şifrelemesi, performans kaybı olmadan tüm veri yelpazesiyle çalışmanıza olanak tanır.

• Güvenliğin Güçlendirilmesi

Şifreleme her zaman etkindir. Ayrıca anahtarlar cihazın içinde üretilir ve asla cihazın dışına çıkmaz.

• Düşük kullanım maliyetleri

İşletim sisteminde, uygulamalarda vb. herhangi bir değişiklik yapılması gerekmez. Şifreleme için CPU kaynakları kullanılmaz.

Bir grup TPM + Bitlocker'ın büyük beklentileri var.Bu çözüm, tüm diski yazılımdan şeffaf bir şekilde şifrelemenize izin verir.

Ağ Erişim Kontrolü (NAC)

TPM, ağa erişmeden ve gerekirse bilgisayarı karantinaya almadan önce bilgisayarın kimliğini ve hatta sağlığını doğrulayabilir.

Yazılım değişikliği koruması

Program kodunun sertifikasyonu, oyunları hileden ve bankacılık ve posta istemcileri gibi hassas programları kasıtlı değişiklikten koruyacaktır. Messenger'ın en son sürümünün yükleyicisine bir "truva atı" eklenmesi derhal durdurulacaktır.

Kopya koruması

Kopya koruması şu zinciri temel alır: program, kendisine (ve yalnızca kendisine) şifre çözme anahtarına (TPM'de de depolanan) erişim sağlayan bir sertifikaya sahiptir. Bu, yazılım tarafından atlanamayan kopya koruması sağlar.

uygulama

Üreticiler

Halihazırda 300"000"000'den fazla bilgisayar TPM çipiyle donatıldı. Gelecekte TPM, cep telefonları gibi cihazlara yüklenebilir. TPM mikrodenetleyicileri aşağıdaki şirketler tarafından üretilmektedir:

• Sinosun,
• Nuvoton,

eleştiri

Güvenilir Platform Modülü de isminden dolayı eleştiriliyor (güven - İngilizce. güven- her zaman karşılıklı, TPM geliştiricileri kullanıcıya güvenmezken) ve bununla ilişkili özgürlüğün ihlali için. Bu ihlaller için, cihaz genellikle tehlikeli bilgi işlem("iğrenç hesaplamalar").

Bilgisayarın "mülkiyet" kaybı

Bilgisayar sahibi artık onunla her istediğini yapamaz, haklarının bir kısmını yazılım üreticilerine devreder. Özellikle, TPM müdahale edebilir (yazılımdaki hatalar veya geliştiricilerin kasıtlı kararı nedeniyle):

• verileri başka bir bilgisayara aktarmak;
• bilgisayarınız için özgürce yazılım seçin;
• mevcut verileri mevcut herhangi bir programla işleyin.

anonimlik kaybı

Uzaktan okunabilir ve değişmez bir bilgisayar tanımlayıcısının neye yol açabileceğini anlamak için Pentium III işlemci kimlik numarası üzerindeki tartışmayı hatırlamak yeterlidir.

Rakiplerin bastırılması

Endüstri lideri bir program (AutoCAD, Microsoft Word veya Adobe Photoshop gibi) dosyalarını şifreleyerek üçüncü taraf programların bu dosyalara erişmesini imkansız hale getirerek uygulama yazılımı pazarında serbest rekabet için potansiyel bir tehdit oluşturabilir.

Son Dakika

TPM başarısız olursa, korunan kapsayıcılara erişilemez ve içlerindeki veriler kurtarılamaz hale gelir. TPM yalnızca karmaşık bir yedekleme sistemi varsa pratiktir - elbette gizliliği sağlamak için kendi TPM'lerine sahip olmalıdır.

Hileler

Black Hat 2010 bilgisayar güvenliği konferansında, TPM spesifikasyonuna göre üretilen Infineon SLE66 CL PE yongasında bir hack duyurusu yapıldı. Bu çip bilgisayarlarda, uydu iletişim ekipmanlarında ve oyun konsollarında kullanılmaktadır. Hack, bir elektron mikroskobu kullandı (yaklaşık 70.000 dolar değerinde). Çipin kabuğu asitle eritildi, komutları kesmek için küçük iğneler kullanıldı. Infineon, çipin fiziksel olarak saldırıya uğrama olasılığının farkında olduklarını iddia ediyor. Şirketin başkan yardımcısı Borchert, pahalı ekipmanın ve bilgisayar korsanlığının teknik karmaşıklığının çip kullanıcılarının büyük çoğunluğu için tehlike oluşturmadığını söyledi.

Güvenilir platform modülü veya TPM (güvenilir platform modülü), kriptografi ve bilgisayar güvenliği ile ilgili belirli bir dizi görevi gerçekleştiren bir bilgisayar anakartında bulunan ayrı bir mikroçiptir.

Örneğin, TPM şifreleme işlemcisini kullanarak bilgisayarınızın sabit sürücüsünü şifreleyebilirsiniz. Tabii ki, CPU da bunu yapabilir, ancak daha sonra daha fazla görev yapması gerekecek ve şifreleme ve şifre çözme hızı çok daha düşük olacaktır. TPM'deki donanım tabanlı şifreleme, neredeyse hiç performans düşüşü olmadan gerçekleşir.

Şifre çözme bazen yanlış bir şekilde şifre çözme olarak adlandırılır. Aralarındaki fark, şifreyi çözdüğünüzde, verileri şifreleyen algoritmayı ve gizli anahtarı bilmeniz, ancak şifreyi çözdüğünüzde bilmemenizdir.

Ayrıca TPM, kimlik bilgilerini koruyabilir ve sistemde çalışan programları kontrol edebilir. Rootkit'ler ve bootkit'ler (işletim sistemi yüklenmeden önce bilgisayara giren veya sistemdeki varlıklarını gizleyen ve bu nedenle sistem tarafından tanınmayan kötü amaçlı program çeşitleri) bulaşmasını önler, bilgisayar yapılandırmasının kullanıcının bilgisi dışında değiştirilmemesini sağlayarak .

Ayrıca, her TPM şifreleme modülünün, doğrudan çipe yazılan ve değiştirilemeyen benzersiz bir tanımlayıcısı vardır. Bu nedenle, şifreleme, ağa veya herhangi bir uygulamaya erişirken kimlik doğrulaması yapmak için kullanılabilir.

TPM, işletim sistemi (OS) tarafından gerektiğinde güçlü şifreleme anahtarları oluşturabilir.

Ancak TPM modülünü kullanabilmeniz için önce yapılandırılması gerekir. Modülün kurulumu birkaç basit adımdan oluşur.

• İlk olarak, çip bilgisayarın BIOS'unda etkinleştirilmelidir (etkinleştirilmemişse).
• İkincisi, işletim sistemi düzeyinde sahibi olmanız gerekir.

Bu adımlara daha ayrıntılı olarak bakalım.

1 TPM'yi etkinleştirme bilgisayarın BIOS'unda

Modülü etkinleştirmek için BIOS'a gidin ve güvenlikle ilgili bölüme gidin. BIOS, bilgisayardan bilgisayara büyük ölçüde değişebilse de, güvenlik ayarları bölümü genellikle "Güvenlik" olarak adlandırılır. Bu bölümde "Güvenlik Yongası" adında bir seçenek bulunmalıdır.

Bir modül üç durumda olabilir:

• Kapalı (Devre Dışı).
• Etkin ve kullanılmıyor (Etkin değil).
• Etkin ve etkin (Etkin).

İlk durumda işletim sisteminde görünmeyecek, ikinci durumda görünecek, ancak sistem onu ​​kullanmayacak ve üçüncü durumda çip görünür olacak ve sistem tarafından kullanılacak. Durumu "etkin" olarak ayarlayın.

Tam oradaki ayarlarda çip tarafından oluşturulan eski anahtarları temizleyebilirsiniz.

Örneğin, bilgisayarınızı satmak istiyorsanız TPM'yi temizlemek işinize yarayabilir. Anahtarları silerek, bu anahtarlar tarafından kodlanan verileri kurtaramayacağınızı lütfen unutmayın (tabii ki, sabit sürücünüzü şifrelemezseniz).

Şimdi değişikliklerinizi kaydedin ("Kaydet ve Çık" veya F10 tuşuna basın) ve bilgisayarınızı yeniden başlatın.

Bilgisayar açıldıktan sonra aygıt yöneticisini açın ve aygıt listesinde güvenilir modülün göründüğünden emin olun. Güvenlik Cihazları bölümünde olmalıdır.

2 TPM'yi başlatma Windows'ta

İşletim sisteminde çipi başlatmak için kalır. Bunu yapmak için TPM Yönetimi ek bileşenini açın. butonlar Windows+R("Çalıştır" penceresi açılacaktır), giriş alanına tpm.msc yazın ve "Enter" tuşuna basın. Snap başlayacak "Yerel Bilgisayarda Güvenilir Platform Modülü (TPM) Yönetimi".

Bu arada, burada ek bilgileri okuyabilirsiniz - TPM nedir, ne zaman açılıp kapatılması gerektiği, şifreyi değiştirin, vb. Microsoft web sitesinde TPM hakkında iyi bir dizi makale var.

Ek bileşenin sağ tarafında eylem menüsü bulunur. "TPM'yi Başlat..." seçeneğini tıklayın. Bu özellik aktif değilse, çipiniz zaten başlatılmıştır. Sizin tarafınızdan başlatılmamışsa ve sahibinin parolasını bilmiyorsanız, önceki paragrafta açıklandığı gibi modülün belleğini sıfırlamanız ve temizlemeniz önerilir.

TPM Başlatma Sihirbazı başladığında, sizden bir parola oluşturmanızı ister. "Otomatik olarak şifre oluştur" seçeneğini seçin.

TPM başlatma programı bir parola oluşturacaktır. Dosya olarak kaydedin veya yazdırın. Şimdi "Başlat" düğmesine tıklayın ve biraz bekleyin.

Tamamlandığında, program modülün başarılı bir şekilde başlatıldığını bildirecektir. Başlatma tamamlandıktan sonra, modülle ilgili tüm diğer işlemler - kapatma, temizleme, arıza durumunda veri kurtarma, kilidi sıfırlama - yalnızca yeni aldığınız şifre ile mümkün olacaktır.

Şimdi başlatma eylemi etkin değil, ancak bu gerçekleşirse TPM'yi devre dışı bırakmak, sahip parolasını değiştirmek ve modül kilidini sıfırlamak mümkündür (modül dolandırıcılığı veya saldırıyı önlemek için kendini kilitler).

Aslında bu, TPM modülünün yönetim yeteneklerinin bittiği yerdir. Çipin kabiliyetini gerektiren diğer tüm işlemler otomatik olarak gerçekleşir - işletim sistemi için şeffaf ve sizin için fark edilmeden. Bütün bunlar yazılımda uygulanmalıdır. Windows 8 ve Windows 10 gibi daha yeni işletim sistemleri, eski işletim sistemlerinden daha yaygın olarak TPM özelliklerini kullanır.

Bu izlenecek yol, bir test ortamında Güvenilir Platform Modülü (TPM) hizmetlerini kullanmak için gerekli talimatları sağlar.

TPM hizmetleri nelerdir?

TPM Hizmetleri, Microsoft®Windows Vista™ ve Windows Server® "Longhorn"da bulunan bir dizi yeni özelliktir. Bu hizmetler, bilgisayarınızı güvende tutan TPM'yi yönetmek için kullanılır. TPM hizmetleri mimarisi, TPM'yi uygulama katmanında paylaşarak donanım güvenliğiyle arabirim oluşturmak için bir çerçeve sağlar.

TPM modülü nedir?

Güvenilir Platform Modülü (TPM), güvenlikle ilgili temel işlevleri, öncelikle şifreleme anahtarlarını kullanarak uygulamak için tasarlanmış bir yongadır. TPM modülü genellikle bir masaüstü veya dizüstü bilgisayarın ana kartına kurulur ve sistem veri yolu aracılığıyla sistem bileşenlerinin geri kalanıyla iletişim kurar.

TPM ile donatılmış bilgisayarlar, kriptografik anahtarlar oluşturma ve yalnızca TPM tarafından şifrelerinin çözülebilmesi için bunları şifreleme yeteneğine sahiptir. Genellikle anahtarı "sarmak" veya anahtarı "bağlamak" olarak adlandırılan bu işlem, anahtarın açığa çıkmasını önlemeye yardımcı olur. Her TPM'nin, TPM'nin kendisinde depolanan Depolama Kök Anahtarı (SRK) adı verilen bir ana gizli anahtarı vardır. TPM'de oluşturulan anahtarın özel kısmı hiçbir zaman başka bir sistem bileşeni, yazılım, süreç veya kullanıcıya sunulmayacaktır.

TPM modülüyle donatılmış bilgisayarlar, yalnızca şifrelenmekle kalmayıp aynı zamanda belirli bir sistem yapılandırmasına bağlı anahtarlar da oluşturabilir. Bu tür anahtarın şifresi, yalnızca şifresi çözülmeye çalışılan platformun özelliği, anahtarın oluşturulduğu platformla eşleşmesi durumunda çözülebilir. Bu işleme, TPM'deki anahtarın "mühürlenmesi" adı verilir. Şifresini çözmeye "mühür açma" denir. TPM, TPM dışında oluşturulan verileri de mühürleyebilir ve yazdırabilir. Kapalı bir anahtar ve BitLocker™ Drive Encryption gibi bir yazılım kullanarak, verilerin doğru donanım veya yazılım yapılandırmasına sahip bir bilgisayara aktarılıncaya kadar kilitlenmesini sağlayabilirsiniz.

TPM'yi kullanırken, anahtar çiftlerinin özel kısmı, işletim sisteminin erişebildiği belleğin dışında depolanır. Anahtarlar, yazdırılıp kullanıma hazır olmadan önce sistemin güvenli olup olmadığına dair doğru bir kararla TPM tarafından mühürlenebilir. TPM, talimatları işlemek için kendi bellenimini ve mantığını kullandığından, işletim sisteminden bağımsızdır. Bu, harici yazılımlardaki olası güvenlik açıklarından korunmasını sağlar.

Bu rehber kimler içindir?

Bu kılavuz şunlar içindir:

• Bilgi altyapısının planlanması ve analizinde yer alan, ürünün işlevselliğini değerlendiren BT uzmanları.
• Ürünü erken benimseyenler.
• Güvenilir bilgi işlem kavramını uygulamaktan sorumlu güvenlik mimarları.

bu kılavuzda

TPM hizmetlerini kullanmak için gereksinimler

Öncelikle bu kılavuzdaki tüm adımları bir test ortamında tamamlamanızı öneririz. Bu kılavuz bağımsız bir belge olarak kabul edilmelidir. Windows Vista veya Windows Server "Longhorn"un belirli özelliklerini dağıtmak için kapsamlı bir kılavuz olarak yorumlanmamalı ve aşağıdaki belgede sağlanan eşlik eden belgelere başvurulmadan kullanılmamalıdır. .

TPM Hizmetlerini Keşfetmek için Test Ortamı Hazırlama

TPM hizmetlerinin çalışmasını incelemek için, geleneksel bir hub veya ikinci katman anahtarı aracılığıyla yalıtılmış bir ağa bağlı bir bilgisayardan oluşan bir test ortamına ihtiyacınız vardır. Bilgisayar, uyumlu bir TPM (sürüm 1.2) ve Güvenilir Bilgi İşlem Grubu (TCG) belirtimine uyan bir BIOS ile Windows Vista işletim sistemini çalıştırıyor olmalıdır. Ayrıca taşınabilir bir USB flash sürücü kullanmanız önerilir. Test ortamınız için ağı yapılandırırken, özel bir IP adresi aralığı kullanmalısınız.

TPM Hizmetleri için En İyi Kullanım Örnekleri

Bu kılavuz, TPM hizmetlerini kullanmak için aşağıdaki senaryoları kapsar:

Not

Bu kılavuzda sunulan üç senaryo, yöneticinin Windows Vista'da TPM hizmetleri tarafından sağlanan yetenekleri anlamasına yardımcı olmak için tasarlanmıştır. Bu senaryolar, yöneticilerin ağlarında TPM donanımlı bilgisayarları yapılandırma ve dağıtma sürecine başlamasını sağlamak için temel bilgiler ve prosedürler sağlar. TPM hizmetlerinin gelişmiş veya gelişmiş yapılandırması için gerekli bilgi ve prosedürler bu kılavuzda yer almamaktadır.

Senaryo 1: TPM başlatma

Bu komut dosyası, bir bilgisayarda TPM'nin nasıl başlatılacağını ayrıntılarıyla anlatır. Başlatma süreci, TPM'nin etkinleştirilmesini ve sahibinin atanmasını içerir. Bu komut dosyası, bir TPM ile donatılmış bilgisayarları yapılandırmaktan sorumlu yerel yöneticiler için yazılmıştır.

Windows Vista, TPM'nin uzaktan başlatılmasını desteklese de, bu işlem genellikle bir yöneticinin bilgisayarda şahsen bulunmasını gerektirir. Bilgisayar, TPM ile önceden başlatılmış olarak gönderildiyse, kişisel olarak orada bulunmanız gerekmez. Uzaktan başlatma ile ilgili bilgiler ve bunun için gerekli prosedürler bu kılavuzda yer almamaktadır. TPM hizmetleri, komut dosyaları kullanarak bu bölümdeki yordamları gerçekleştirmenize olanak tanıyan bir WMI sınıfı kullanır. Bu görevleri gerçekleştirmek için komut dosyaları yazmaya ilişkin bilgiler de bu kılavuzda yer almamaktadır.

TPM'yi başlatma adımları

Bilgisayarınızda yüklü olan TPM'yi başlatmak için aşağıdaki adımları tamamlamanız gerekir:

1. Adım: TPM'yi başlatın

TPM'nin bilgisayarınızı koruyabilmesi için önce başlatılması gerekir. Bu bölüm, bilgisayarda yüklü olan TPM'nin nasıl başlatılacağını açıklar.

Windows Vista uyumlu bilgisayarlarda, BIOS'ta yerleşik olarak bulunan ve TPM'nin TPM Başlatma Sihirbazı kullanılarak başlatılmasını kolaylaştıran bir özellik bulunur. TPM Başlatma Sihirbazı'nı çalıştırdığınızda, bilgisayarınızda bulunan TPM'nin başlatılıp başlatılmadığını belirleyebilirsiniz.

Aşağıdaki prosedür, TPM Başlatma Sihirbazını kullanarak TPM'yi başlatma adımlarında size yol gösterecektir.

Not
Aşağıdaki yordamı gerçekleştirmek için, TPM donanımlı bilgisayarda yönetici haklarıyla oturum açmış olmanız gerekir.

TPM Başlatma Sihirbazını çalıştırmak ve TPM'yi başlatmak için aşağıdaki adımları tamamlayın:

Menüde BaşlamaÖğeyi seçin Tüm programlar, sonra Standart, sonra Koşmak.

Giriş tpm.msc tarlada Açık, ardından tuşuna basın Giriş.

İlerlemek "Ek bilgi kaynakları"

Konsol görüntülenecek Yerel bilgisayarda güvenilir platform modülü (TPM) yönetimi.

Menüde Aksiyon bir takım seç başlat TPM . Bu, TPM Başlatma Sihirbazını başlatacaktır.

Düğmeye bas Bir bilgisayarı yeniden başlatmak için, ardından BIOS'un yayınlayacağı ekrandaki talimatları izleyin.
Not. BIOS tarafından görüntülenen mesajlar ve gerekli kullanıcı eylemleri, donanım üreticisine bağlı olarak farklılık gösterebilir.

Yeniden başlatmanın ardından ekranda, kullanıcının kişisel varlığının yanıt vermesini gerektiren bir bildirim görüntülenecektir. Bu, TPM'nin kötü amaçlı yazılım yerine kullanıcıyı başlatmaya çalışmasını sağlar.

Bir iletişim kutusu görünürse Kullanıcı Hesap Denetimi, önerilen eylemin istediğinizle eşleştiğinden emin olun ve ardından İlerlemek. Daha fazla bilgi için, bölüme bakın "Ek bilgi kaynakları" bu belgenin sonunda yer almaktadır.

Tıklamak Modülü otomatik olarak hazırla Sahip ataması için TPM (önerilir).

2. Adım: TPM sahibini atayın

Bilgisayarınızın güvenliğini sağlamak için bir TPM kullanılmadan önce modüle bir sahip atamanız gerekir. Bir TPM sahibi atarken bir parola sağlamanız gerekir. Parola, yalnızca TPM'nin yetkili sahibinin ona erişmesini ve yönetmesini sağlar. Parola, artık kullanmak istemiyorsanız TPM'yi devre dışı bırakmak ve bilgisayar geri dönüşüm için hazırlanıyorsa TPM'yi temizlemek için de kullanılır.

Aşağıdaki prosedür, TPM'nin sahipliğini almanıza olanak tanır.

Aşağıdaki adımlar, TPM Başlatma Sihirbazını kullanarak bir TPM sahibi atama sürecinde size yol gösterecektir.

Not

Bir TPM sahibi atamak için şu adımları izleyin:

Dikkat.Şifrenizi kaybetmeyin. Parolanızı kaybederseniz, TPM'yi temizleyene kadar herhangi bir yönetimsel değişiklik yapamazsınız.

Senaryo 2: TPM'yi kapatın ve temizleyin

Bu senaryo, yöneticilerin TPM'si olan bir bilgisayarı yeniden yapılandırırken veya elden çıkarırken karşılaşacakları iki genel görevi kapsar. Bu görevler, TPM'yi kapatmak ve temizlemektir.

TPM'yi kapatın

Bazı yöneticiler, ağlarında TPM bulunan her bilgisayarın TPM'nin sağladığı ekstra korumaya ihtiyaç duymadığını görebilir. Bu durumda, etkilenen bilgisayarlardaki TPM'lerin devre dışı bırakıldığından emin olmanızı öneririz. Aşağıdaki prosedür, TPM'yi kapatma sürecinin tamamı boyunca size rehberlik edecektir.

Not
TPM'yi devre dışı bırakmak için yöneticinin kişisel varlığı gerekli değildir.

Aşağıdaki yordamı gerçekleştirmek için, yerel yönetici haklarıyla TPM donanımlı bilgisayarda oturum açmalısınız.

TPM'yi devre dışı bırakmak için şu adımları izleyin

Menüde BaşlamaSeçme paragraf Tüm programlar, sonra Standart, sonra Koşmak.

Giriş tpm.msc tarlada Açık ve tuşuna basın Giriş. Konsol görüntülenecek

Bir iletişim kutusu görünürse Kullanıcı Hesap Denetimi, önerilen eylemin istediğinizle eşleştiğinden emin olun ve ardından İlerlemek. Daha fazla bilgi için, bölüme bakın "Ek bilgi kaynakları" bu belgenin sonunda yer almaktadır.

Menüde Hareketler bir takım seç Devre dışı bırakmak TPM.

iletişim kutusunda TPM için güvenlik donanımını kapatınsen parolayı girme ve TPM modülünü kapatma yöntemini uygulayın:

TPM sahip parolasını önceden kaydettiğiniz bir çıkarılabilir medyanız varsa, bunu okuyucuya takın ve düğmesine basın. İletişim kutusunda, düğmesine tıklayın genel bakış, Açık, ardından düğmesine basın.

Parolanızı girin (tireler dahil) ve düğmesine tıklayın TPM'yi devre dışı bırak.

TPM sahip şifresi yok ve parola girmeden TPM'yi devre dışı bırakmak için talimatları izleyin.

Not. TPM sahip parolasını girmeden ve sınırlı sayıda yönetim görevi gerçekleştirmeden TPM'yi devre dışı bırakmak, yöneticinin bilgisayarda fiziksel olarak bulunmasını gerektirir.

TPM durumu şurada görüntülenir: Belirtmek, bildirmek TPM yönetim konsolları.

TPM'yi temizleme

TPM'nin temizlenmesi, TPM'nin sahipliğini kaldırır ve TPM'yi devre dışı bırakır. Bu adım, TPM donanımlı bilgisayarın atılması gerektiğinde veya TPM sahip parolasının kaybedilmesi durumunda gerçekleştirilmelidir. Aşağıdaki prosedür, tüm TPM temizleme işlemi boyunca size rehberlik edecektir.

Not
TPM'nin temizlenmesi, bir yöneticinin kişisel varlığını gerektirmez.

Aşağıdaki yordamı gerçekleştirmek için, yerel yönetici haklarıyla TPM donanımlı bilgisayarda oturum açmalısınız.

TPM'yi temizlemek için şu adımları izleyin

Menüde BaşlamaÖğeyi seçin Tüm programlar, sonra Standart, sonra Koşmak.

Giriş tpm.msc tarlada Açık ve tuşuna basın Giriş. Konsol görüntülenecek Yerel bilgisayarda güvenilir platform modülü (TPM) yönetimi.

Bir iletişim kutusu görünürse Kullanıcı Hesap Denetimi, önerilen eylemin istediğinizle eşleştiğinden emin olun ve ardından İlerlemek. Daha fazla bilgi için, bölüme bakın "Ek bilgi kaynakları" bu belgenin sonunda yer almaktadır.
Dikkat. TPM'nin silinmesi, tüm ayarlarını fabrika varsayılanlarına sıfırlayacak ve modülün kendisini devre dışı bırakacaktır. Bu durumda, oluşturulan tüm anahtarları ve bu anahtarlar tarafından korunan verileri kaybedersiniz.

Menüde Hareketler bir takım seç Temizlemek TPM. TPM devre dışıysa, bölümündeki prosedürü izleyin. "Adım 1: TPM'yi Başlatın", temizlemeden önce yeniden başlatmak için.

iletişim kutusunda TPM için güvenlik donanımını temizleyinyöntem seç bir parola girin ve TPM'yi silin:

TPM sahip parolasını önceden kaydettiğiniz bir çıkarılabilir medyanız varsa, bunu okuyucuya takın ve düğmesine basın. TPM sahip parolasına sahip bir arşiv dosyası var. iletişim kutusunda TPM sahip parolasıyla yedekleme dosyasını seçin düğmesine basın genel bakış , çıkarılabilir medyada bulunan bir .tpm dosyasını seçmek için düğmesine tıklayın Açık, ardından düğmesine basın.

Kaydedilmiş bir parolaya sahip çıkarılabilir medya yoksa, öğesini seçin. TPM sahip parolasını manuel olarak girin. Görüntülenen iletişim kutusunda TPM sahip parolanızı girinşifrenizi girin (tireler dahil) ve tıklayın TPM'yi temizle.

TPM sahip parolasını bilmiyorsanız, TPM sahip şifresi yok ve parola girmeden TPM'yi temizlemek için talimatları izleyin.

Not. TPM'nin temizlenmesi ve TPM sahip parolasının girilmesi gerekmeden sınırlı sayıda yönetim görevinin gerçekleştirilmesi, yöneticinin bilgisayarda şahsen bulunmasını gerektirir.

TPM'nin durumu alanda görüntülenir Belirtmek, bildirmek TPM yönetim konsolları.

Senaryo 3: TPM komutlarını engelleme ve kullanımına izin verme

Bu komut dosyası, TPM komutlarının kullanımına izin verme ve engelleme prosedürünü açıklar. Bu görev, yerel yöneticiler tarafından TPM donanımlı bir bilgisayarın ilk yapılandırması sırasında veya bir yapılandırma değişikliği sırasında gerçekleştirilebilir. TPM komutları, TPM yönetim konsolunun adı verilen bir alt düğümü aracılığıyla yönetilebilir. Takım yönetimi. Burada yöneticiler, TPM ile kullanılabilecek komutları görüntüleyebilir. Ayrıca Grup İlkesi ayarları ve yerel bilgisayar ayarları tarafından belirlenen sınırlar dahilinde bu komutların kullanımını engelleyebilir ve kullanımına izin verebilirler. Aşağıdaki prosedür, TPM komutlarının kullanımını engelleme ve etkinleştirme sürecinin tamamı boyunca size rehberlik edecektir.

Not
Aşağıdaki yordamı gerçekleştirmek için, yerel yönetici haklarıyla TPM donanımlı bilgisayarda oturum açmalısınız.

TPM komutlarının kullanımını engellemek ve kullanımına izin vermek için:

Menüde BaşlamaÖğeyi seçin Tüm programlar, sonra Standart, sonra Koşmak.

Bir iletişim kutusu görünürse Kullanıcı Hesap Denetimi, önerilen eylemin istediğinizle eşleştiğinden emin olun ve ardından İlerlemek. Daha fazla bilgi için, bölüme bakın "Ek bilgi kaynakları" bu belgenin sonunda yer alan

Giriş tpm.msc tarlada Açık, ardından tuşuna basın Giriş.

Konsol ağacındaki düğümü genişletin Takım yönetimi. Bu, TPM komutlarının bir listesini görüntüler.

Engellemek veya izin vermek istediğiniz komutu listeden seçin.

Menüde Hareketler Tıklayın Seçilen takımı engelle veya Seçilen komutun yürütülmesine izin verihtiyaca göre.

Not. Yerel yöneticiler, Grup İlkesi tarafından engellenen TPM komutlarına izin veremez. MMC engellenenler listesinde varsayılan olarak listelenen TPM komutlarına da, varsayılan engelleme listesini geçersiz kılmak için Grup İlkesi'nde uygun değişiklikler yapılıncaya kadar izin verilmeyecektir.

Hata günlüğü ve geri bildirim

TPM hizmetleri, Windows Server "Longhorn" ve Windows Vista'da yeni özellikler sağladığından, bunlarla çalışma, karşılaşmış olabileceğiniz sorunlar ve mevcut belgelerin kullanışlılığı hakkındaki geri bildiriminizle çok ilgileniyoruz.

Hata bulduğunuzda, Microsoft Connect web sitesindeki talimatları izleyin. Ayrıca TPM hizmetleriyle ilgili önerileriniz ve genel geri bildiriminizle de ilgileniyoruz.

TPM hizmetleriyle ilgili geri bildirimlerinizi ve genel sorularınızı aşağıdaki e-posta adresine gönderebilirsiniz: mailto: [e-posta korumalı]?subject=Windows Vista Beta 2 Güvenilir Platform Modülü Hizmetleri Adım Adım Kılavuz .

Ek bilgi kaynakları

Aşağıdaki kaynaklar, TPM hizmetleri hakkında ek bilgiler sağlar:

Destek için Microsoft Connect web sitesini ziyaret edin.

TPM Hizmetleri haber gruplarına erişmek için Microsoft Connect web sitesinde sağlanan yönergeleri izleyin.

BitLocker Sürücü Şifreleme ekibi, Microsoft TechNet Web sitesinde bulunan bir blog tutar.

Teknoloji Benimseme Programı ile Destek

Beta test kullanıcısıysanız ve Teknoloji Benimseme Programına (TAP) katılıyorsanız, yardım için atanmış Microsoft geliştirici ekibi temsilcinizle de iletişime geçebilirsiniz.

TPM'nin etkin olduğu bir dizüstü veya PC'niz varsa ve Windows Defender Güvenlik Merkezi'nde güvenlik işlemcinizi veya TPM ürün yazılımını güncellemeniz gerektiğini söyleyen bir mesaj alırsanız, önceliğe göre güncellemelisiniz. Bu rehberde size nasıl yapabileceğinizi göstereceğim. TPM'yi temizle Ve TPM güvenlik ürün yazılımını güncelleyin.

Windows 10'da TPM nedir?

Güvenilir Platform Modülü (TPM)- özel bir çiptir. TPM genellikle bilgisayarın ana kartına kurulur ve bir donanım veri yolu kullanarak sistemin geri kalanıyla iletişim kurar. Ana sisteme özel RSA şifreleme anahtarlarını ve donanım kimlik doğrulamasını saklayabilir. TPM yongası ayrıca anahtar adı verilen bir RSA "çifti" anahtar içerir. Onayla. Çift, dahili olarak çip üzerinde tutulur ve yazılım aracılığıyla erişilemez. Kısacası parmak izleri, yüz verileri vb. dahil olmak üzere önemli verileri depolayabilir.

Bir bilgisayarda TPM olup olmadığı nasıl kontrol edilir?

Düğme kombinasyonuna basın Kazan+R ve yazın tpm.msc. TPM aşağıdaki durumlardan birinde olabilir: Kullanıma hazır, Azaltılmış işlevsellik modunda kullanıma hazır Ve kullanıma hazır değil. Windows 10'daki çoğu TPM özelliğinden yararlanmak için TPM, Kullanıma hazır.

Önemli: Bir modülünüz varsa, o zaman yapabilirsiniz TPM'yi tam olarak bu ayarlarda güncelleyin ve temizleyin sağda. Bu nedenle, aşağıdaki noktalara başvuramazsınız. Ancak bir şeyler ters giderse, aşağıdaki noktalar tam size göre.

Not: TPM'yi etkinleştirirken bit kilitleyici ile ilgili sorunlar olabilir, TPM modülünü etkinleştirirken bit kilitleyiciyi devre dışı bırakın.

TPM Güvenlik İşlemcisi Ürün Yazılımı Nasıl Güncellenir

Bir TPM güncellemesi genellikle işletim sisteminin güvenliğini etkileyebilecek bir güvenlik açığı için bir düzeltme içerir. Bu güncelleme indirmeniz ve yüklemeniz gereken güvenlik açığı. Firmware güncellemelerinin, Windows Update'e kıyasla daha hızlı olan OEM'ler tarafından gönderilmesi de mümkündür.

Windows için güncellemeleri indirin ve yükleyin

TPM'nizi güncellemenin en iyi yolu budur. Otomatik güncellemeleri devre dışı bıraktıysanız, Windows Update veya micosoft kataloğu aracılığıyla pencereleri en son sürüme güncelleyin.

OEM'ler tarafından Ürün Yazılımı Güncellemelerini Yükleme

Microsoft dahil birçok OEM, ürün yazılımı güncellemelerini ayrı olarak sunar. TPM üretici yazılımı güncellemesi Windows Update'e dahil edilmemişse, bunu manuel olarak indirip uygulamanız gerekecektir. Aşağıda, güncellemeyi indirebileceğiniz OEM'lerin bir listesi bulunmaktadır.

• Microsoft Yüzey Cihazları
• Acer
• Fujitsu
• HP Müşteri Desteği
• HP Kurumsal Destek
• Lenovo
• panasonic
• Toshiba

TPM nasıl temizlenir

Windows Update aracılığıyla veya OEM web sitesinden bir üretici yazılımı güncellemesi yükledikten sonra, TPM'yi de temizlemeniz gerekir. Bu veri güvenliği için önemlidir. TPM'nizi temizlemek, güvenlik işlemcinizi varsayılan ayarlarına sıfırlayacaktır.

• Windows 10 Defender'ı açın, şuraya gidin: Cihaz Güvenliği. Sonraki bul Güvenlik İşlemcisinde Sorun Giderme ve bas TPM'yi temizle.İşlemi tamamlamadan önce cihazınızı yeniden başlatmanız gerekir.

PowerShell ile TPM'yi temizleyin

Güvenilir Platform Modülünü varsayılan durumuna sıfırlayan ve sahip yetkilendirme değerini ve TPM'de depolanan tüm anahtarları kaldıran bir komut vardır. Bu komut, bir değer belirtmek veya bir dosyada bir değer kullanmak yerine kayıt defterinde depolanan sahip yetkilendirme değerini kullanır.

• PowerShell'i yönetici olarak açın ve yazın Tpm'yi temizle.

Geçmişin filozofları özgürlük hakkında konuşmayı severdi. Benjamin Franklin, “Tehlikeden kısa süreli korunma elde etmek için özgürlüklerinden vazgeçmeye istekli olanlar, ne özgürlüğü ne de güvenliği hak ediyor” dedi. “Bir insan ne köle ne de özgür olabilir. Ya özgürdür - ya da hiç değildir, ”dedi Jean-Paul Sartre kategorik olarak. Marksistler, Benedict Spinoza'nın "Özgürlük bilinçli bir gerekliliktir" dediğini söyledi.

özgürlük nedir? Bir insanın özgür olması önemli midir ve özgürlüğü güvenlikle değiştirmeye hazır mı? Kamuoyu tarafından fark edilmeyen bir durum bu konu üzerinde düşünmeye sevk etti. Bu yaz, JTC1 Teknik Komitesi, tarafından kurulan Trusted Computing Group (TCG) konsorsiyumu tarafından sunulan ISO / IEC 11889: 2015 standardının yeni bir versiyonunu PAS prosedürünün sağladığı basitleştirilmiş şekilde onaylamak için oy kullandı. Amerikan şirketleri AMD, Cisco, HP, IBM, Intel , Microsoft ve Wave Systems. Ve 29 Haziran'da Portland, Oregon'da TCG, Güvenilir Platform Modülü (TPM) 2.0 standardının nihayet uluslararası bir standart olarak onaylandığını duyurdu.

TPM'nin Faydaları

TPM, bilgileri korumak için şifreleme anahtarlarını depolayan bir şifreleme modülünü tanımlayan bir belirtimin adıdır. Daha basit bir ifadeyle sunuculara, kişisel bilgisayarlara, ağ ve mobil cihazlara kurulabilen bir bilgi güvenliği modülüdür. Bilgisayarın donanımını ve yazılımını birbirine bağlayan uzaktan doğrulamayı destekler.

Modül, yazılımın lisansını kontrol etmenize, müzik, film veya bilgisayar oyunlarının yasa dışı kopyalanmasını kontrol etmenize izin verdiği için telif hakkı sahipleri için uygundur. Bilgisayarı benzersiz bir şekilde tanımlar ve kullanıcının kimliğini doğrulamanıza olanak tanır. Aynı zamanda TPM, anahtar üretmeyi mümkün kılar, hash, rasgele sayılar üretme işlevlerine sahiptir.

TPM donanım yeteneklerinin gücü çok sınırlıdır ve büyük miktarda verinin yüksek hızda doğrudan şifrelenmesine izin vermez. Disklerdeki dosyaların toplu olarak şifrelenmesi, Windows Bitlocker programı tarafından gerçekleştirilebilir. Aynı zamanda, kullanılan şifreleme anahtarları, hırsızlık olasılığını ortadan kaldıran TPM kullanılarak şifrelenir.

Böylece, TPM, Windows Bitlocker ile birlikte bir diski şifreleyebilir, bir bilgisayarın kaybolması veya çalınması durumunda verileri, yazılımı değiştirme ve virüs hasarından ve ayrıca bankacılık ve posta programlarından koruyabilir.

Modül, ağa erişmeden önce bile bilgisayarın orijinalliğini ve hatta performansını doğrulayabilir. Genel olarak, özellikle bilgi güvenliği sorunları hakkında çok az bilgisi olan ve bunları kendi başına çözemeyen kullanıcıların güvenliğini önemli ölçüde artırır.

Gerçekten de, TPM önemli ve faydalı bir şeydir. Kullanıcı güvenliğini önemli ölçüde artırır. Ancak güvenlik fiyatı sorunu ortaya çıkıyor. Bir kişi evine bir web kamerası yerleştirirse, evinin güvenliğini arttırır. Daireyi her zaman uzaktan izleyebilir ve hırsızlık durumunda polisi arayabilir. Ancak web kamerasını kontrol etme yeteneği engellenirse, bir güvenlik cihazından bir gözetleme cihazına dönüşebilir. Bir kişi hakkında toplanan bilgiler - sırasıyla, bir kontrol ve yönetim aracına. Ve dairesinin kendisi bir hücreye dönüşüyor, ancak bir hapishane hücresine dönüşüyor.

Alman pozisyonu

ISO/IEC JTC1 oylamasının sonucu tahmin edilebilirdi. Sadece Almanya karşı oy kullandı. Rusya çekimser kaldı, ancak “karşı” oyu zaten hiçbir şeye karar vermeyecekti. Çoğunluk Amerikalıların pozisyonunu destekledi. Eşi görülmemiş eylem de yardımcı olmadı - komite üyelerine Federal İçişleri Bakanlığı ve Almanya Federal Ekonomi ve Enerji Bakanlığı'nın resmi temsilcilerinden projeyi "gömmek" talebiyle kapalı bir mektup göndermek. Bu belgeyle ilgili bilgiler Alman basınına sızdırıldı ve çok ses getirdi.

Devlet düzeyinde, böyle bir mektubun varlığı Alman makamları tarafından reddedildi, ancak bu durumda resmi makamlardan başka ne beklenebilir. Editörlerin erişimine açık olan ve gerçekliğinden şüphe duymadığımız Almanca mektubun metninde, “... taslak standartta sunulan özellikler bir karar vermek için yeterince geliştirilmemiştir; özellikle, konunun dikkatli bir şekilde değerlendirilmesinin bir sonucu olarak, bunların uygulanmasının korunan BİT sistemini yönetme becerisini önemli ölçüde bozabileceğine ve ayrıca potansiyel olarak sistemin tamamen bloke edildiği durumlara yol açabileceğine inanmak için nedenlerimiz var. bazı bilgisayar ekipmanı üreticilerinin çıkarları. Ayrıca, önerilen spesifikasyonların kişisel veri gizliliği ve BT güvenliği düzeyi üzerindeki potansiyel etkisinin çok sorunlu olabileceğine inanıyor ve bunun ilgili Alman mevzuatıyla çelişeceğinden korkuyoruz.”

Aynı zamanda Alman bilgi güvenliği uzmanları da prensipte TPM'ye karşı çıkmadı. Kullanıcının platformu üzerinde tam kontrolü elinde tuttuğu önceki TPM 1.2 standardından memnun kaldılar. TPM modülü basitçe devre dışı bırakılabilir. TPM 2.0 standardında bu artık çalışmayacaktır.

Ayrıca, yalnızca Amerikan şirketlerinin katıldığı standardın geliştirilmesine yönelik yaklaşımdan korkuyorlardı. Zeit gazetecileri, Alman hükümetinin TPM 2.0'ın geliştirilmesinde yer almaya çalıştığını ancak reddedildiğini bildirdi. Ayrıca, standart geliştiricilerin ABD NSA ile aktif işbirliğine dikkat çektiler ve bağımsız uzmanlar tarafından TPM 2.0'ın güvenlik değerlendirmelerini sağladılar. Yayın, TPM'nin bir arka kapı olarak kabul edilebileceği konusunda uyardı ve NSA'nın kriptografik anahtarlara erişiminin yüksek bir olasılığı var.

Havalandırma ve pencereler

Alman Federal Bilgi Teknolojileri Güvenlik Dairesi (BSI) uzmanları, TPM 2.0 spesifikasyonuna geçişle birlikte, bu standardın Windows 8.1 ve sonraki sürümleri çalıştıran tüm cihazlar için zorunlu hale geldiği ve bu işlevin devre dışı bırakılamayacağı konusunda endişeliydi.

Aslında, TPM 2.0'a sahip bir bilgisayar, kullanıcının tam kontrolü altında olan bir cihaz olarak kabul edilemez. TPM 2.0 içeren Windows 8'in Microsoft'un yerleşik bir arka kapı aracılığıyla bir bilgisayarı uzaktan kontrol etmesine izin verebileceği konusunda endişeler dile getirildi.

Çinli uzmanlar da Alman uyarısını okudu. Sorunu araştırdılar, detayları anladılar ve bir karar verdiler. Mayıs 2014'te Çin devlet kurumu Xinhua, Windows 8'in devlet bilgisayarlarına yüklenmesinin yasaklandığını duyurdu. Ve bunlar büyük olasılıkla sadece devlete değil, aynı zamanda devlet tarafından kontrol edilen yapılara - en büyük bankalar, bilgi güvenliği alanındaki işletmeler, telekom ve ayrıca tavsiyeleri takip etmek isteyen diğer şirketlere ait bilgisayarlardır. onların hükümetinin.

Bir Alman yayınından elde edilen başka bir BSI dahili belgesinde şöyle deniyor: "Windows 7, 2020'ye kadar güvenli bir şekilde yönetilebilir. Bundan sonra BT sistem yönetimi için başka çözümler bulunmalı." Ve BSI web sitesinde doğrudan Windows 8'in TPM 2.0 ile çalışma mekanizmasının “üçüncü şahıslar tarafından sabotaj için kullanılabileceğini” ve uzmanların devlet kurumları ve kritik altyapı için TPM'nin yeni sürümünü kullanmasını kabul edilemez bulduğu yazıyor. Öyle görünüyor ki Almanlar ve Çinliler kamu sektöründe Windows 7'yi Windows 8'e bile yükseltmek için acele etmeyecekler.

Rusya'nın konumu

Rusya'nın konumunu öğrenmek için uzmanlara döndük - ISO / IEC Teknik Komitesi JTC1, Rus şirketleri Aquarius ve Craftway ve Microsoft, Almanya ve Çin'in yeni standartla ilgili endişelerinin ciddiyeti hakkında yorum yapma talebiyle.

Maalesef uzmanlar sorularımızı ya görmezden geldiler ya da cevap vermeyi reddettiklerini söylediler. Görüşmeyi kabul eden tek uzman, otomatik kontrol sistemlerinde siber güvenlik konusunda bağımsız bir uzmandı. Vadim Podolni.

İyi ve tehlikeli TPM nedir?

TPM, ister en yaygın TPM 1.2 ister yakında çıkacak olan TPM 2.0 olsun, büyük ABD şirketleri tarafından teşvik edilen bir teknoloji standardıdır. Aslında TPM, bilgisayarlara entegre edilmiş ayrı bir modüldür.

Artık PC'lere, sunuculara, terminallere, ağ yönlendiricilerine ek olarak, ağa bağlı daha birçok yeni bileşenimiz var. Bunlar endüstriyel otomasyon için kontrolörler, Nesnelerin İnterneti cihazları, insan sağlığından sorumlu cihazlar - kalp pilleri, saatlere yerleştirilmiş şeker ölçüm cihazları ... Bir bilgisayar korsanının müdahalesi nedeniyle yanlış çalışabilir veya tersine yanlış çalışmayabilir. Güven modülleri TPM'ler önemli bir görevi yerine getirir - verilere güven, sisteme güven, doğru çalışacağını onaylama.

TPM fikri doğru. Bilginin yasal uygunluğunu sağlayan standart modüller olmalıdır. Konseptin kendisi şu şekildedir: Hackerların yapması zor olan ve sadece büyük bir devletin yapabileceği bir modül yapmak. Parayı koruma yöntemi olarak bir banknot gibidir. Yanlış bir şey yok.

Soru farklı. Windows 7'de "Bilgisayarım" simgesi vardı. Windows 10'da buna Bu PC denir. O artık senin bilgisayarın değil. Beğensek de beğenmesek de bizi güvende tutacak teknolojilere zorlanıyoruz. Görünüşe göre devlet kuru yasa getiriyor ve artık sarhoş olmayacağınızı söylüyor çünkü toplumun sağlıklı askerlere ihtiyacı var. Yani burada da.

Bilgisayarınız ele geçirilirse, birinin bir şey için ona ihtiyacı vardır. Belki seni takip etmek için. Bu işlevi devre dışı bırakamazsanız, bu bir çare değildir. Pasif bir saldırı aracıdır. Bilgi toplamak, saldıracak bir nokta aramaktır. Microsoft kendi paranızla bilgisayarınızı sizden alıyor. Size işletim sistemini satar ve kontrolü sizden alır.

TPM modülünde arka kapı olup olmadığı kontrol edilebilir mi?

Standardı analiz edebilirsiniz. Ancak bir bilgisayar, ana kartına lehimlenmiş ve sizin kontrol ettiğiniz bir tesis tarafından üretilmeyen bir TPM modülü ile geldiğinde, içinde ne olduğunu bilemezsiniz. Oraya her şey eklenebilir.

Ancak herhangi bir işlemciye veya denetleyiciye yer imi ekleyebilirsiniz?

Evet elbette. Ve yaklaşım aynı olmalıdır. Askeri sistemlerde, düzenleyiciler, açık bir standarda göre bile olsa, bilinmeyen bir kişi tarafından yapılan bir çipin kullanılmasına asla izin vermezler. Bu nedenle Baykal ve Elbrus işlemcilerimiz var. Rus mühendislik güçleri kendi TPM'nizi tasarlamak için yeterlidir. Biz fabrikalarımızda yapamıyoruz. İşlemci de öyle. Ama tasarlayabilir ve sonra bizim ihtiyacımız olan şekilde yapıp yapmadıklarını veya oraya bir şey ekleyip eklemediklerini kontrol edebiliriz. Böyle bir mekanizma zaten TPM kullanımına izin verecektir.

Ve şimdi kendi TPM'miz olmadığında ne yapmalıyız?

Her yerde kullanılan ve birçok açıdan rolünü yerine getiren TPM analogları, güvenilir önyükleme donanımı modülleridir. TPM'ler anakartlarda göründüğünde bile şimdi kullanılıyorlar.

BIOS'u değiştirme olasılığı da vardı, programlı olarak güvenilir önyükleme modülleri oluşturmanıza izin veren bir standart olan UEFI teknolojisi ortaya çıktı. Aslında, birçok geliştirmede yapılan TPM'nin çalışmalarını taklit eden programları barındırabilirler. Örneğin, işletim sistemi seOS'unda, FSB tarafından onaylanmıştır.

Rus TPM modülü ne olacak?

Rusya'da hala projeleri için anakart sipariş eden şirketlerimiz var. Örneğin, Kova, Kraftway, T-Platformları, MCST ve diğerleri. Her biri kendi TPM modülünü tasarlama konusunda oldukça yeteneklidir. Ve kesinlikle yakın gelecekte, yerel GOST şifreleme algoritmalarının desteğiyle oluşturulacaktır. Bu da sadece savunma işletmeleri için değil, 152-FZ sayılı “Kişisel Verilere Dair Kanun” hükümlerine uyması gereken geniş bir tüketici kitlesi için de önemlidir.

Ve Almanlar neden TPM 2.0 standardına bu kadar şiddetle karşı çıktı?

Çok basit. Verilerini ve teknolojilerini ABD'den korumak istiyorlar. SUSE Linux'un nasıl doğduğunu hatırlıyor musunuz? Bu, Bundeswehr'in bir bölümünden diğerine belgeleri aktarırken, bilgilerin ilk önce NSA'da sona erdiği ortaya çıktıktan sonra oldu. Daha sonra Almanya'da SUSE Linux oluşturuldu ve departman bu işletim sistemi ile çalışmak üzere transfer edildi.

Linux ayrıca çekirdek 3.2'den bu yana TPM 2.0 desteğini duyurdu. Ama kapatılabilir. Ve Windows'ta sekizin üzerine çıkamazsınız. Windows çok kullanıcı dostu bir işletim sistemidir. Harika düşünmüş. On binlerce programcı, kullanıcıların kendilerini rahat ve rahat hissetmelerini sağlamak için çalışıyor. Ama sizin güvenliğiniz için zorla yapılan her değişiklik can sıkıcıdır. Ve uzmanlar, yetkililer ve hükümet.

TPM'den korkmamak için özel bir araştırma yapmanız, bir kontrol yapmanız ve orada tehlikeli bir şey olup olmadığını öğrenmeniz gerekir. Bu oldukça standart bir prosedürdür. Bazen üretime bir ziyaretle gerçekleştirilir. Bu, ülke temsilcilerinin üreticinin ülkesine gelip bir süre üretimde oturduğu, süreçleri anladığı normal bir uygulamadır.

Ve kim yapacak?

Bu, büyük ticari şirketlerin ilgisini çekebilir. Bu formatta bazı araştırma çalışmalarının halihazırda devam ettiğini düşünüyorum. Ve devlet bununla hemen ilgilenmiyor, çünkü orada kriptografimiz yok, bu nedenle mevcut modüller savunma sanayi için uygun değil.

Devlet kurumlarında TPM'li bilgisayar kullanmak mümkün müdür?

Devlet kurumlarında TPM kullanma konusu oldukça karmaşıktır. TPM'nin sonraki sürümlerinde kriptografik algoritmaları değiştirmenin zaten mümkün olacağını düşünüyorum. Artık BIOS'u yeniden yükleyebilir ve bileşenlerinizi ekleyebilirsiniz. Yani TPM'de olacak. Kamu sektöründeki mevcut kullanıma gelince, bunu konuşmak için henüz çok erken. Ancak, standardı kendi uygulama olasılığınızı incelemeniz gerekir. Ayrıca bir sonraki versiyonunun geliştirilmesine katılmak da gereklidir. Kriptografimizi başka birinin TPM'sine gömebilmek için.

... Genel olarak, pozisyon anlaşılabilir. TPM, güvenlikte yeni bir düzeydir. Devlet bir şekilde savunma sanayindeki sorunu çözecek, gerisi elindekiyle kullanacak. Çoğu durumda, TPM vahşi bilgisayar korsanlarına karşı koruma sağlar (TPM'nin sağladığı koruma konularında), ancak yine de Big Brother'ın dikkatinden kaçamazsınız.

Tamamen Amerikan projesi olarak başlayan konsorsiyum genişliyor. TCG'nin şu anda 11 Promoter üyesi (AMD, Cisco, Fujitsu, HP, IBM, Infenion, Intel, Juniper, Lenovo, Microsoft ve Wave Systems) ve 74 Contributor üyesi bulunmaktadır. Japon ve Çinli şirketler bu listelerde yer aldı. Ancak orada hala Rus temsilcisi yok.

Özgürlük mü, güvenlik mi? "Özgürlük yollarını" seçen ve özgür insanı araştıran, "hiç"in eşiğinde duran varoluşçu Sartre ve Camus'nün devirleri geçtiğimiz yüzyılla birlikte geride kaldı. Çoğu insan güvenliği seçti. Ve şimdi sadece tasmanın uzunluğu hakkında tartışıyor. Yani toplu kullanıcı için TPM sorunu mevcut değil. Ancak devlet, devlet yapılarının kimin tasmasında olduğu sorusuna kayıtsız kalmamalıdır. Vatandaşları da öyle.