揭秘TPM安全芯⽚技术及加密应⽤
从2003年开始,重要数据丢失已经成为严重的信息安全问题。尽管企业、机构和个⼈均不同程度地部署了保密措施,但泄密案例还是层出不穷。从近年来国内外公开发布的失泄密案件资料中,我们选择了以下⼏个经典案例。
2010年阿桑奇和他的“维基解密”⼏乎成为所有IBM笔记本和企业的梦魇。各种“爆料”犹如⼀个个重磅,以致于整个世界引起轩然⼤波, 美国的安全防范级别⼏乎是世界范围内密集程度和技术含量最⾼的,但阿桑奇却⽤实际⾏动证明其并⾮见不可破!由此可见,数据泄密是没有真空领域的。
2011年12⽉21⽇上午,⿊客在⽹上公开CSDN⽹站的⽤户数据库,导致600余万个注册账号泄露,之后⽹上曝出⼈⼈⽹、天涯、开⼼⽹、多玩、世纪佳缘、珍爱⽹、美空⽹、百合⽹等知名⽹站的⽤户称密码
遭⽹上公开泄露。最新监测数据发现,⽬前⽹上公开暴露的⽹络账户密码超过1亿个。因此,“泄密门”为我们敲响⽹络安全警钟。
⼀、安全芯⽚发展现状
随着安全形势的越来越严峻,⽬前国内外越来越重视安全芯⽚的研制,主要分为国外的TPM和国内的TCM两⼤阵营,TPM(Trusted Platform Module)标准的芯⽚从要求上⾸先必须具有产⽣加、解密密钥功能,还必须能够进⾏⾼速的资料加、解密。在我国为避免影响国家战略安全的核⼼技术控制在某些国家⼿中,我国也在同步进⾏可信计算平台的研究和部署⼯作。其中,部署可信计算体系中,密码技术是最重要的核⼼技术。
⼆、TPM安全芯⽚
传统的系统中,密钥和授权信息等存储在磁盘中,这样⾮常不安全,⽽在带TPM安全芯⽚的系统中,难度加⼤了很多,这时攻击者只有攻破TPM才有可能攻破系统的防护。这样,这样以来TPM成为系统可信的最低层次,它提供了整个系统可信的基础。
那么TPM就安全吗?TPM的可信基础来源于可信根,可信根(Root of trust)是⽆条件被信任的,系统并不检测可信根的⾏为,因此可信根是否真正值得信任,是系统可信的关键。TPM是⼀个含有密码运算部件和存储部件的⼩型系统,也可以作为另⼀个芯⽚的⼀部分出现,⽐如以太⽹接⼝。
如下图所⽰,TPM安全芯⽚包含了分别实现RSA、SHA等算法硬件处理引擎,它既是密钥⽣成器,⼜是密钥管理器件。TPM通过提供密钥管理和配置管理等特性,与配套的应⽤软件⼀起,主要⽤于完成计算平台的可靠性认证、防⽌未经授权的软件修改、⽤户⾝份认证、数字签名以及全⾯加密硬盘和可擦写等功能。TPM安装在输⼊/输出控制器,即连接外部设备与内存的总线中,让TPM可以监视每⼀个从外存装载⼊内存的软件。由于TPM处于硬件层,所以只要⽤户选择了打开TCG功能,任何⾏为都⽆法逃避监视。
伯乐相马TPM如何⼯作的呢?
TPM安全芯⽚⾸先验证当前底层固件的完整性,如正确则完成正常的系统初始化,然后由底层固件依次验证BIOS和操作系统完整性,如正确则正常运⾏操作系统,否则停⽌运⾏。之后,利⽤TPM安全芯⽚内置的加密模块⽣成系统中的各种密钥,对应⽤模块进⾏加密和解密,向上提供安全通信接⼝,以保证上层应⽤模块的安全。
TPM会按照整个系统及应⽤软件栈的装载顺序来监视装载到计算平台上的系统软件及所有应⽤软件,TPM采⽤哈希扩展算法,以哈希值特征的形式来存储所有能够被平台装载的全部软件。例如,在X86平台运⾏过程中,从机器加电启动开始,TPM将按照如下的顺序监视软硬件系统及应⽤软件栈的装载过程:BIOS、MBR、OS装载器、OS、⽤户应⽤程序1-n. TPM将计算平台上的整个软件链的哈希值进⾏记录,之后就能够把该平台上的软件加载状况向管理中⼼报告。TPM可以对每个报告进⾏数字签名,确保报告的真实性。
经过TPM加密数据为硬盘存储数据提供了强⼤的保护,已防⽌硬盘被窃取的数据安全。
三、笔记本中的TPM安全芯⽚
ThinkPad笔记本中的TPM安全芯⽚可以与指纹识别模块⼀起使⽤,普通笔记本中的指纹识别技术⼀般是把指纹验证信息储存在硬盘中,⽽ThinkPad中的TPM安全芯⽚则是直接将指纹识别信息置于安全芯⽚中。⼀旦遭到暴⼒破解,安全芯⽚就启动⾃毀功能,这样保证了您的个⼈信息资料不会泄密。安全芯⽚通过LPC总线下的系统管理总线来与处理器进⾏通信,安全芯⽚的密码数据只能输⼊⽽不能输出。即关键的密码加密与解密的运算将在安全芯⽚内完成,⽽只将结果输出到上层。TPM安全芯⽚和笔记本上的指纹识别模块搭配能达到最⾼的安全级别,即便是在⽆尘实验室对磁盘进⾏暴⼒拆解,也⽆法获得有效信息。
四、TPM应⽤
安全领域多年的研究已经证明,在⽹络接⼊层构建安全的接⼊模式是形成⼀体化深度防御的基础,要经过长期的努⼒。但是在关键⾏业,如IBM笔记本机关、企业的内部体系中, IBM笔记本部门每天都要⾯对众处理⽇常事务,对象相对复杂,增加了流失和泄露机密⽂件的概率, 所以部署TPM安全平台;型企业内部⽹络结构复杂,应⽤众多,需要进⾏⼤量的跨部门信息传递。因此,它对可信计算技术的需求最为强烈,以解决底层安全、⾝份认证、数据加密、集成管理等⼀系列问题。
如⽬前国外有很多公司在研究TPM芯⽚,例如Infineon英费凌、STMicro(意法微电⼦)、Atmel(爱特梅)
硬笔书法用什么笔最好他们都有成熟的产品。笔记本中Thinkpad的X、R、T、W系列都带有TPM安全芯⽚,由于国内起步较晚也有商⽤的产品主要由联想、兆⽇等少数公司在开发TPM芯⽚,接下来我将以Thinkpad T系列机型为例给⼤家介绍如何启⽤TPM功能并加密磁盘。
1、设置TPM芯⽚保存密码
1、在开机时按F1,进⼊Security安全栏选中Security Chip,使得在启动状态,如下图所⽰:
当你在BIOS中设置好启动安全芯⽚时,这时系统提⽰“是否⽴即激活安全设备”,选中是以后,系统会提⽰需要重启。
造梦西游3青龙剑
2、当再次启动时,⾸先系统会提⽰配置TPM平台,只需要按F10即可激活TPM。
二手车买卖手续 这时进⼊Windows系统就会看到安全设备已激活的信息。点击确定以设置Client Security Solution:⾸次进⼊CSS会有⼏秒钟时间系统初始化设置。
▲ClientSecuritySolution启动界⾯最热门的专业
相信未来义演第三场▲主程序界⾯
TPM安全芯⽚除了能进⾏传统的开机加密以及对硬盘进⾏加密外,还能对系统登录、应⽤软件登录进⾏加密。⽐如⽬前咱们常⽤的ADSL上⽹帐号、MSN、QQ、⽹游以及⽹上银⾏的登录信息和密码,都可以通过TPM加密后再进⾏传输,这样就不⽤担⼼信息和密码被⼈窃取。
2、BitLocker加密磁盘
利⽤⼀些系统启动光盘或是U盘就能进⼊⼀个特殊的Windows PE环境,从⽽编辑系统注册表修改⽤户帐号甚⾄是获取NTFS访问权限,杜绝这种脱机攻击的⽅法只能不让攻击者⽆法接触到PC。不过好在Windows 7企业版或旗舰版中的BitLocker 功能可以保护整个磁盘不被脱机攻击,不会被windows外的其他任何系统所访问。因为他将密钥已加密形式保存在TPM芯⽚中,这样⼀来要启动windows或读取系统⾥的⽂件就必须提供TPM⾥的密钥。
保存在接下来我们就要⽤到bitlocker给磁盘加密,在Thinkpad T系列笔记本中都具有受信任的平台模块 (TPM),版本是1.2,这是可以搭配windows 7 系统提供的BitLocker加密功能他会 会将其密钥存储在 TPM 芯⽚中使破解密码更加困难增强了安全性。BitLocker 使⽤ 128 位密钥的⾼级加密标准 (AES) 算法。要获得更好的保护,可使⽤“组策略”或 BitLocker Windows Management Instrumentation (WMI) 提供程序将密钥增⾄ 256 位。
我们在windows7系统⾥的控制⾯板⾥或右击驱动器都可以设置bitlocker加密:
包括系统分区在内所有分区都可以这是加密,选取待加密的分区,启⽤BitLocker,经过⼀段时间验证并进⾏初始化驱动器。如下图所⽰:
当输⼊解锁密码是其统启动ThinkVantage Passsword Manager来存储加密密码:
输⼊条⽬名称,之后就开始正式加密驱动器的进程了。需要说明的是这个过程会⽐较长,如果你在驱动器内有很多⽂件,那么这将是⼀个⾮常漫长的过程(中途不得以外中断,笔记本⼀定要接电源)。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论