Trusted Platform Module: Technik und Einsatzra.ziti.uni-heidelberg.de/pages/student_work/seminar/hws06/Michael... · 1 Einführung Struktur und Ziele der TCG Wichtige Begriffe 2 Das

Trusted Platform Module: Technik und Einsatz„Ein Chip, sie zu knechten, sie alle zu finden,

Ins Dunkel zu treiben und ewig zu binden“

Michael Krauß

Seminar der Lehrstühle Rechnerarchitektur, Optoelektronik,Schaltungstechnik und Simulation sowie Informatik V

19.12.2006

Michael Krauß () TPM: Technik und Einsatz 19.12.2006 1 / 33

1 EinführungStruktur und Ziele der TCGWichtige Begriffe

2 Das Trusted Platform Module (TPM)AufbauInhalt

3 Die Softwareseite

4 TPM im Einsatzeinige Standardverfahrenalternative Gesichtspunkte


Ziele der Trusted Computing Group (TCG)

Entwicklung einer hard- und softwarebasierten, vertrauenswürdigenRechnerplattform.

Spezifikationen für verschiedene Geräte, wie PC, PDA undMobiltelephon.

Festlegung von Evaluationskriterien zur Prüfung von TCG Technologie.


Mitglieder der TCG

Promoter: AMD, HP, IBM, Intel, Microsoft, Sun50.000$/a

Contributor: ca. 75 Mitglieder, unter anderen Dell, Ericson, FujitsuSiemens, Hitachi, Motorola, Infineon, TI ...15.000$/a

Adopter: ca. 45 Mitglieder, wie American Megatrends, Toshiba, ...7.500$/a (bzw. 1,000 für kleine Unternehmen)

Vorstand: Alle Promoter plus 3 Contributors


Designziele für das Trusted Platform Module (TPM)

1 Sealing (Versiegelung)I Daten werden durch Verschlüsselung an aktuelle Systemkonfiguration

gebunden.I Verschlüsselung mit Autorisierungscode und Berücksichtigung des Inhalts

von Registern (PCRs) mit Hash-Werten der Konfiguration vonSystemkomponenten.

I Unsealing nur, wenn Register und Code stimmen.2 Platform Attestation (Beglaubigung)

I Beweis des Vorhandenseins eines registrierten TPM über eineVertrauenswürdige Instanz.

I Aktuellen Systemzustand übermitteln.I Übermittlung kann nicht manipuliert werden.


Roots of Trust

Ausgangspunkt aller Sicherheitsmaßnahmen, können selbst nicht geprüftwerden.

Root of Trust for Measurement (RTM)

Root of Trust for Storage (RTS)

Root of Trust for Reporting (RTR)


Ausweiten der Vertrauenswürdigkeit

Schrittweise Erweiterung der Trust Boundary1 Beginne bei Root of Trust2 Messe nächste Komponente3 Erweitere Trust Boundary auf neue Komponente (Transitive Trust)4 Wiederhole Schritt 2 und 3 bis alle Komponenten als vertrauenswürdig

eingestuft sind.

Am Ende chain of trust


Absichern des Systemstarts




3 Die Softwareseite



Trusted Platform Module (TPM) Aufbau


Infineon Chip

16-bit microcontroller in 0.22 µm CMOS technology

1.5 kBytes of NV storage available for free utilization

3.3 V power supply

Advanced Crypto Engine (ACE) supporting up to 2048 RSAcalculations

Hardware accelerator for SHA-1 hash algorithm

True Random Number Generator (TRNG)

Security architecture based on Infineon SLE66CXxxPEsecurity controller family

Secure Field Upgrade for on-chip embedded software

EEPROM for functional upgrade of the On-Chip EmbeddedSoftware and for non-volatile storage of user data and keys

Operates from a single 33 MHz clock

Low profile TSSOP-28 package


Anbindung des TPM (Infineon)


zentrale Schlüssel

Endorsement Key (EK): Ist jedem TPM eindeutig zugeordnet. Kann vonowner erneuert werden.Wird zur Erzeugung der AIKs benutzt. Nichtmigrierbar.

Attestation Identity Keys (AIK): Dienen der Beglaubigung derVertrauenswürdigkeit gegenüber Dritten. Werden mit öffentlichem Teil desEndorsement Keys generiert. Kein Rückschluß auf EK möglich. Nuröffentlicher Teil ist übertragbar.

Storage Root Key (SRK): Nicht migrierbarer Schlüssel zur Sicherunglokaler Daten und anderer Schlüssel.


Wichtige Zertifikate

Endorsement Zertifikat: Echtheit des TPM, geprüfter Hersteller, Signierenmit Endorsement Key

Plattform Zertifikat: von Plattformhersteller, Komponenten genügen derTCG Spezifikation, TPM enthalten

Conformance Zertifikat: TPM erfüllt TCG Spezifikation

Validation Zertifikat: Komponenten oder Komponentengruppen(Graphikkarten, Eingabegeräte) sind TCG konform




3 Die Softwareseite



Auslagerung von Schlüsseln


Trusted Software Stack (TSS) im Überblick


Zusammenspiel von TPM, TSS und Anwendungen




3 Die Softwareseite



Inbetriebnahme des TPM

1 Herstellung des TPM2 Generierung des EK3 EK Zertifizierung durch TPM Hersteller4 Einbau des TPM in Plattform5 Plattformzertifizierung durch PC-Hersteller6 Auslieferung an den Kunden7 TPM-Aktivierung8 AIK von unabhängiger Zertifizierungsstelle (über Internet)9 Anwender benutzt AIK für Transaktionen


Authentifizierung und Zertifikate

TPM (Client) Privacy Certificate Authority (PCA)

AIK Public KeyEK Public Key Platform-ZertifikatConformance-Zertifikat

Prüft TPMauf Echtheit

Neue IdentitätAIK Zertifikatausstellen und signieren

AIK Zertifikat


Remote Identifizierung und Fremdkontrolle

1 Plattform fordert Dienst bei Anbieter an [z.B. neue Metallica-Single]2 Anbieter verlangt Attestation [Bestätigung der Glaubwürdigkeit]3 Plattform signiert Systemkonfiguration (PCR) mit AIK4 Anbieter erhält Attestation [mit AIK signiertes PCR]5 Anbieter überprüft AIK über Third Party (TP)

I TP führt schwarze Liste mit ungültigen AIKs / Public EKsI TP führt Liste mit zertifizierten AIKs [TP gibt o.k. an Anbieter]

6 Anbieter überprüft Systemkonfiguration der Plattform [anhand der PCRs]7 Plattform erhält Zugang zum Dienst [Lizenzierung / Download von

Metallica-Single]


Signing: Unveränderbarkeit von Dokumenten und Software

Dokumente und Software signieren

1 Hashwert von Dokument berechnen (160 Bit)2 Hashwert mit privatem RSA-Schlüssel signieren3 Dokument mit Signatur, öffentlichem RSA-Schlüssel und Zertifikat ist

nicht manipulierbar.4 Empfänger überprüft den RSA-Schlüssel bei der Zertifizierungsstelle.


Binding mit tpm_sealdata (TrouSerS)

Klartext-Datei

AES-Key256 Bit

RSA-Schlüssel,öffentlicher Teil

SRK des TPM

Verschlüsselte Datei

Nutzdaten

AES-Key256 Bit

RSA-Schlüsselpaar

verschlüsselt

verschlüsselt

verschlüsselt


Remote Sealing

Verschlüsselung mitPublic Key und PCRs

Entschlüsselung nurmit Private Key undpassenden PCRs

AIK + ZertifikatPublic KeyPCRs

SenderEmpfänger

AIK und PCRs prüfen

Versiegelter Inhalt


Virtualisierung


Kritik

Whitelists und Programmupdates

I Illegale Software Kopien an der Ausführung hindern.I Unerwünschte Software (CD-Emulatoren, Brennsoftware, . . . ) blockieren.I Verdongelung von Soft- und Hardware (OEM, MacOS X).I Vorschreiben von Hardwarekomponenten über Whitelists.

ProgrammupdatesI Bei jeder Veränderung der Software müssen versiegelte Inhalte neu

versiegelt werden, oder sind nutzlos.I Sind alle versiegelten Daten nach einer TPM-Migration unbrauchbar?


Kritik 2

Open SourceI Zertifizierung von Software kostet Geld.I Jede neue Version muß zertifiziert werden.I Was ist mit Quellcode?

WettbewerbI Alle großen Hard- und Software Hersteller sind in der TCGI Der Großteil der Software und Hardware wird Trusted Computing

einsetzen.I Dokumente oder Mails lassen sich mit deaktiviertem TPM dann nicht mehr

öffnen.I Bestimmte Dateien lassen sich nur noch mit vorgegebenen Programmen

bearbeiten.


OSS Projekte

Eine Auswahl:

Trusted GrubTCG konformer Bootloader von IBM und dem Hurd Projekt

TPM-Engine für OpenSSL

TrouSerSEin Trusted Software Stack (TSS) und Kommandozeilentools für Linux


TrouSerS – Trusted Software Stack (TSS) für Linux

Treiber für TPM seit Kernel 2.6.12

TSS Core Services (TCS) sind als daemon (tcsd) realisiert

TCG Service Provider (TSP) als dynamisch gelinkte Bibliothek (libtspi.so)im Kontext der Anwendung

Tools zum auslesen des TPM und zum Sealing von Dateien


Fazit – Aktuelle Lage

TPM Hardware ist etabliert.

kein vertrauenswürdiges Betriebssystem

keine Trusted Computing Infrastruktur (z.B. Zertifizierungsstellen)

Zu große Vielfalt von Hard- und Software auf PCs (−→ Virtualisierung)

Deshalb Vermarktung als sicherer „Datentresor “


Weiterführende Verweise

Das Trusted Platform Module (TPM) und vertrauenswürdigeInformationstechnikhttp://www.bsi.de/sichere_plattformen/trustcomp/infos/tpm_report/index.htm

Trusted Platform Module (TPM1.2)http://www.infineon.com/tpm

Trusted Platform Module (TPM) Specificationshttps://www.trustedcomputinggroup.org/specs/TPM

TCG Architecture Overviewhttps://www.trustedcomputinggroup.org/groups/TCG_1_0_Architecture_Overview.pdf

PC Client Specificationshttps://www.trustedcomputinggroup.org/specs/PCClient/


Weiterführende Verweise

IBM: Virtual Trusted Platform Modulehttp://domino.research.ibm.com/comm/research_projects.nsf/pages/ssd_vtpm.index.html

Open Trusted Computinghttp://www.opentc.net

In den Kinderschuhen – Anwendungen für das Trusted Platform ModuleLinux Magazin 12/06 Seite 120-127

Trusted Computing – Ein kurzer Spaziergangvon Gerald Himmelein C’t Magazinhttp://www.heise.de/ct/redaktion/ghi/tc/linuxtagTClinked.html

Einführung in die KryptographieJohannes Buchmann, Springer-Verlag, 3. erweiterte Auflage


Documents

Trusted Platform Module: Technik und Einsatzra.ziti.uni-heidelberg.de/pages/student_work/seminar/hws06/Michael... · 1 Einführung Struktur und Ziele der TCG Wichtige Begriffe 2 Das