Криптопроцессор Trusted Platform Module

Введение

Trusted Platform Module (TPM) — название спецификации, детализирующей криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например в виде «чипа TPM» или «устройства безопасности TPM» (Dell).

Trusted Platform Module (TPM), криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи так и для шифрования/дешифрования), с той же степенью неповторяемости, как и генератор случайных чисел. Так же этот модуль включает следующие возможности: удалённую аттестацию, привязку, и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы, и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение, или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. ТСЗАП). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют. 

Модуль TPM может использоваться, чтобы подтвердить подлинность  аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным  однозначное установление подлинности  платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система. 
 
 
 

Архитектура TPM

В спецификации TCG описан минимальный набор алгоритмов и  протоколов, которым должен удовлетворять  чип TPM. Кроме того, производителем могут  быть реализованы дополнительные алгоритмы  и протоколы (которые, разумеется, должны быть описаны производителем в соответствующей документации).

Итак, чип безопасности представляет собой  специализированную микросхему (см. рисунок) включающую:

- криптографический сопроцессор;

- связующую логику;

- специализированный  интерфейс;

- генератор случайных  чисел;

- логику защиты от атак по тактовой частоте;

- сенсоры: частоты,  напряжения, температуры, освещения,  импульсных помех. 

В соответствии со спецификацией TPM чип должен выполнять, как минимум, следующий  набор функций:

- хранение информации  о статусе ОС;

- генерация и хранение закрытого ключа;

- хеширование (SHA-1) файлов;

- формирование ЭЦП;

- обеспечение цепочки  доверия для ключей, сертификатов  и других критичных данных. 

Технологическими  особенностями чипа безопасности являются:

- высокая степень  интеграции элементов;

- энергонезависимая  память;

- ППЗУ;

- скрытая структура  ПЗУ. 

Использование новейших технологий производства ИС дает уверенность, что для взлома чипа хакеру потребуется  очень дорогое оборудование и  это ограничит число потенциальных  нарушителей, понизит риски. Подделка такого высокотехнологичного чипа по сравнению с его взломом будет  стоить еще дороже. В архитектуре  чипа реализованы следующие механизмы:

- защищенное управление памятью;

- шифрование шины/памяти;

- тестирование режимов блокирования;

- активное экранирование. 

В архитектуре чипа реализованы следующие  защитные алгоритмы:

• защищённое управление памятью,
• шифрование шины и данных,
• активное экранирование.

 

Активное экранирование  позволяет чипу детектировать электрическое  тестирование и, в случае необходимости, блокировать чип. Кроме того, при  изготовлении TPM используются и нестандартные  технологические шаги, такие как  запутывание топологии слоёв  ИС. Эти меры значительно усложняют  взлом чипа, увеличивают стоимость  взлома, что ведёт к уменьшению потенциальных нарушителей.

Ввод/Вывод (англ. I/O)

Этот компонент  управляет потоком информации по шине. Направляет сообщения к соответствующим  компонентам. I/O компонент вводит в  действие политику доступа, связанную  с функциями TPM.

Криптографический процессор

Осуществляет криптографические  операции внутри TPM. Эти операции включают в себя:

• Генерация асимметричных ключей (RSA);
• Асимметричное шифрование/расшифрование(RSA);
• Хэширование (SHA-1);
• Генерация случайных чисел.

 

TPM использует эти  возможности для генерации случайных  последовательностей, генерации  асимметричных ключей, цифровой  подписи и конфиденциальности  хранимых данных. Также TPM поддерживает  симметричное шифрование для  внутренних нужд. Все хранимые  ключи по силе должны соответствовать  ключу RSA длиной 2048 бит.

Энергонезависимая память (англ. Non-Volatile Storage)

Используется для  хранения ключа подтверждения, корневого  ключа (англ. Storage Root Key, SRK), авторизационных данных, различных флагов.

Ключ  подтверждения (англ. Endorsement Key, EK)

EK — ключ RSA размером 2048 бит. Открытая чаcть называется PUBEK, закрытая — PRIVEK. EK генерируется до того, как конечный пользователь получит платформу. Последующие попытки сгенерировать или вставить EK не должны выполняться. Таким образом, EK — ключ, связанный с чипом. TPM должен гарантировать, что PRIVEK не будет доступен вне чипа. Используется только для установления владельца TPM и установления AIK.

Регистры конфигурации платформы (Platform Configuration Registers, PCR)

Могут хранится как в энергонезависимой, так и в энергозависимой памяти. Эти регистры сбрасываются при старте системы или при потери питания. TCG предписывает минимальное количество регистров (16). Регистры 0-7 зарезервированы для нужд TPM. Регистры 8-15 доступны для использования операционной системой и приложениями. Размер всех регистров — 160 бит.

Ключи подтверждения подлинности (англ. Attestation Identity Keys, AIK)

Эти ключи должны быть постоянными, но рекомендуется  хранить AIK в виде блобов в постоянной внешней памяти (вне TPM), а не внутри энергонезависимой памяти TPM. TCG предполагает, что производители обеспечат достаточно места для многих блобов AIK, которые будут одновременно загружаться в энергозависимую память TPM. AIK — ключ RSA длиной 2048 бит. Фактически, TPM может сгенерировать неограниченное количество AIK. TPM должен защищать закрытую часть асимметричного ключа. AIK не используется для шифрования, только для подписей. Переход AIK от одного TPM к другому должен быть запрещён.

Генератор случайных чисел (англ. Random Number Generator, RNG)

Используется для  генерации ключей и случайностей в сигнатурах. TPM должен быть способным  обеспечить 32 случайных бита на каждый вызов. RNG чипа состоит из следующих компонентов:

• Источник энтропии и коллектор

Источник энтропии — процесс (или процессы), обеспечивающие энтропию. Такими источниками могут  быть шум, счётчик тактов процессора и другие события. Коллектор энтропии — процесс, который собирает энтропию, удаляет смещение, выравнивает выходные данные. Энтропия должна передаваться только регистру состояния.

• Регистр состояния

Реализация регистра состояния может использовать 2 регистра: энергозависимый и независимый. При старте TPM загружает энергозависимый регистр из энергонезависимого. Любое последующее изменение регистра состояния от источника энтропии или от смешивающей функции влияет на энергозависимый регистр. При выключении TPM записывает текущее значение регистра состояния в энергонезависимый регистр (такое обновление может происходить и в любое другое время). Причиной такой реализации является стремление реализовать энергонезависимый регистр на флэш-памяти, количество записи в которую ограничено. TPM должен обеспечить отсутствие экспорта регистра состояния.

• Смешивающая функция

Берёт значение из регистра состояния и выдаёт выходные данные RNG. Каждое использование смешивающей  функции должно изменять регистр состояния.

При потери питания происходит сброс RNG. Любые выходные данные RNG для TPM должны быть защищены.

Устройство SHA-1 (англ. SHA-1 Engine)

Используется для  вычисления сигнатур (подписей), создания блобов ключей и других целей общего назначения. Хэш-интерфейсы доступны вне TPM. Это позволяет окружению иметь доступ к хэш-функции.

Генератор ключей RSA (англ. RSA Key Generator)

Создаёт пары ключей RSA. TCG не накладывает минимальных  требований ко времени генерации  ключей.

Устройство RSA (англ. RSA Engine)

Используется для  цифровых подписей и шифрования. Нет  ограничений на реализацию алгоритма RSA. Производители могут использовать китайскую теорему об остатках или  любой другой метод. Минимально рекомендуемая  длина ключа — 2048 бит.  Значение открытой экспоненты должно быть 216 + 1.

Доверенная  платформа (англ. The trusted Platform)

В системах TCG корни  доверия (roots of trust) — компоненты, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR). RTM — вычислительный механизм, который производит надёжные измерения целостности платформы. RTS — вычислительный механизм, способный хранить хэши значений целостности. RTR — механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хэши этих измерений — «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хэш измеренных значений с хэшом доверенного состояния платформы можно говорить о целостности системы.

Возможные применения

Аутентификация

TPM может рассматриваться  в качестве токена (Security token) аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам.  Это может использоваться, например, при защите электронной почты, основанной на шифровании или подписывании при помощи цифровых сертификатов, привязанных к TPM. Также отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN доступа. 
 

Защита  данных от кражи

Это основное назначение «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера.

Преимущества:

• Улучшение производительности

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности. 
 

• Усиление безопасности

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

• Низкие издержки использования

Не требуются модификации  операционной системы, приложений и  т. д. Для шифрования не используются ресурсы центрального процессора. 

Большие перспективы  имеет связка TPM+Bitlocker.Такое решение позволяет прозрачно от ПО шифровать весь диск.

Управление  доступом к сети (NAC)

TPM может подтверждать  подлинность компьютера и даже  его работоспособность ещё до  получения доступа к сети и,  если необходимо, помещать компьютер  в карантин.

Защита  ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства, а чувствительные программы наподобие банковских и почтовых клиентов — от намеренной модификации. Сразу же будет пресечено добавление «троянского коня» в инсталлятор свежей версии мессенджера.

Защита  от копирования

Защита от копирования  основана на такой цепочке: программа  имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.